domenica 30 gennaio 2011

Virus Photo su Facebook: ultimi aggiornamenti e guida alla rimozione


Non c'è tregua per gli utenti di Facebook. Continua l'infezione del "virus photo" attraverso i link inviati da amici in chat. Si tratta di uno tra i più massicci attacchi spam ai danni degli iscritti al social network in blu, degli ultimi tempi dopo l'infezione di koobface, che infetta attivamente il PC. Come abbiamo ripetuto in altre occasioni, il virus si propaga attraverso dei link che fanno riferimento a pagine esterne al social network ma che ripropongono il sito di Facebook, per dar l'impressione di essere ancora all'interno del sito. Altri modi di trasmissione sono delle applicazioni appositamente create da centinaia di profili falsi sparsi sul social network. Qualsiasi sistema di attacco venga utilizzato, se il sistema antivirus installato sul proprio PC non è in grado di rilevare tempestivamente la minaccia - cioè il file eseguibile il cui nome ricorda una foto - il file viene eseguito ed il trojan in esso contenuto da il via all'infezione. I sintomi caratteristici d'un PC infettato nello specifico dal Worm Palevo (che può comunque assumere nomi diversi a seconda del rilevamento) sono i seguenti:
  • blocco dell'accesso al proprio account di Facebook
  • falso messaggio di errore che avvisa che l'account è stato sospeso
  • messaggio di avviso che bisogna rispondere a certi sondaggi
In sostanza il proprio account e l'intero PC viene preso letteralmente in ostaggio dal Worm. Non possiamo naturalmente elencare tutti i link o le applicazioni fraudolente che permettono di scaricare il malware, ma possiamo indicarvi la strada per difendervi e soprattutto rimuovere l'infezione, nel caso l'aveste contratta. A tal proposito vi proponiamo innanzitutto gli screenshot degli ultimi link che ci sono pervenuti in chat.

Chat tipo 1


Chat tipo 2


Chat tipo 3


Chat tipo 4


Chat tipo 5


L'utente, pensando che si tratta d'un messaggio inviato da un amico, cliccherà su link inviatogli e visualizzerà una falsa pagina di Facebook come questa


maldestramente non controllerà l'URL della pagina (se lo facesse capirebbe che si tratta d'una pagina appositamente predisposta) e scaricherà il malware


o si ritroverà su Facebook sulla pagina di una delle tante false applicazioni appositamente realizzate da falsi profili come quello illustrato di seguito


Ci siamo voluti fare una "passeggiata" all'interno del codice HTML della pagina e ispezionando gli elementi abbiamo individuato l'hosting che ospita (a sua insaputa) le pagine fake di Facebook


Se avete contratto l'infezione, non prendetevi di panico (in quanto il vostro account è ancora attivo) ed effettuate una scansione con l'efficace programma di rimozione Malwarebyes in versione freeware, la cui ultima versione potete scaricare dalla pagina ufficiale.


Malwarebytes 'Anti-Malware è in grado di rilevare e rimuovere il malware che noti antivirus non riescono ad individuare. Una volta scaricato e installato il programma avviate l'aggiornamento delle firme del database


Sottolineamo il fatto che bisogna scaricare Malwarebytes 'Anti-Malware versione free, perchè a differenza di quella a pagamento non possiede la scansione il Real Time, che potrebbe andar in conflitto con la soluzione antimalware già presente sul vostro PC


Riavviate il vostro PC possibilmente in modalità provvisoria e senza rete. In modalità provvisoria, Windows viene avviato con un gruppo limitato di file e di driver. I programmi a esecuzione automatica non vengono avviati in modalità provvisoria e vengono installati solo i driver di base necessari per l'avvio di Windows. La modalità provvisoria è utile per risolvere i problemi relativi ai programmi e ai driver che non vengono avviati correttamente o che potrebbero impedire il corretto avvio di Windows, ma in questo caso a non far avviare il virus. Per far ciò rimuovete tutti i dischi floppy, i CD e i DVD dal computer, quindi riavviare il sistema ed eseguite una delle operazioni seguenti:
  1. se nel computer è installato un solo sistema operativo, tenere premuto F8 al riavvio del computer. È necessario premere F8 prima che venga visualizzato il logo Windows. Se il logo di Windows è già visualizzato, sarà necessario riprovare dopo aver atteso la visualizzazione della schermata di accesso di Windows e aver arrestato e riavviato il computer.
  2. se nel computer sono installati più sistemi operativi, utilizzare i tasti di direzione per evidenziare il sistema operativo da avviare in modalità provvisoria e quindi premere F8.
Nella schermata Opzioni di avvio avanzate utilizzare i tasti di direzione per evidenziare l'opzione relativa alla modalità provvisoria desiderata e quindi premere INVIO. Per ulteriori informazioni sulle opzioni disponibili, vedere Opzioni di avvio avanzate (inclusa la modalità provvisoria).
  • Accedete al computer utilizzando un account utente che dispone dei diritti di amministratore. 
  • Quando il computer è in modalità provvisoria, negli angoli dello schermo vengono visualizzate le parole Modalità provvisoria 


Quindi lanciate la scansione del vostro PC e al termine procedete alla rimozione dei file che il programma individuerà come minacce. Per uscire dalla modalità provvisoria, riavviate il computer lasciando che Windows venga avviato in modo normale. Se vi ritrovate su Facebook un vostro contatto che continua, insistentemente ad inviarvi messaggi in chat "pregandovi" di scaricare alcune sue foto che, guarda caso, puntano ad un indirizzo web esterno, o peggio ancora che vi chiedono di installare un'applicazione du Facebook, non cliccate e avvertite il vostro contatto di farsi una buona scansione antimalware. Il problema più grave è che la maggior parte degli antivirus sembrano non riconoscere questo tipo di minaccia, se non soltanto dopo aver scaricato il file .exe. 

Attacco phishing su Facebook attraverso messaggi e pagina predisposta


Continuano gli attacchi di phishing su Facebook mirati al furto delle credenziali di login e col fine ultimo di rubare le pagine fan su Facebook ad utenti sprovveduti. Dopo le metodologie 'scientifiche' su come incrementare il numero di fan della propria pagina o i tentativi di phishing attraverso false applicazioni, una nuova truffa si sta diffondendo sul social network più famoso e più colpito da attacchi malware. A rischio tutti gli utenti di Facebook, ma in special modo coloro che amministrano una pagina fan con 10 mila iscritti (10 mila è il numero fissato - non ufficialmente - che può trasformare una pagina Facebook da tradizionale in Sociale). La truffa viene diffusa in particolare attraverso un messaggio che contiene un link - parte del quale abbiamo sostituito con degli asterischi per non essere copi/incollato (lintero URL è visibile nelle immagini sottostanti) - e può essere di questo tipo:
"PER TUTTI QUELLI CHE HANNO 10.000 FAN IN UNA PAGINA" E' USCITO IL NUOVO FACEBOOK PLUS CHE GARANTISCE CHE IL FOUNDER DELLA PAGINA NON VENGA ELIMINATO ADMIN, E CI SONO DELLE VARIE OPZIONI DELLA PAGINA UTILISSIME! TIPO UN TEMA.. E MOLTO ALTRO ANCORA QUA: http://httpfacebookfb.**********.org/Facebook/ PS*NON FUNZIONA SE AVETE MENO DI 10.000 FAN. BUON DIVERTIMENTO :D"
e che può essere divulgato attraverso aggiornamento di stato


inviato per mezzo di messaggistica


o contattati via chat


La truffa sfrutta il timore che hanno molti utenti di vedersi trasformare da Facebook la propria pagina in Pagina Sociale. Ricordiamo che una Pagina Sociale è una Pagina gestita dall'intera comunità di Facebook. Quando viene trasformata una pagina in sociale gli amministratori perdono la possibilità di pubblicare a nome della pagina e inviare aggiornamenti ai fan. Naturalmente la truffa in questione non mette a riparo da questo 'inconveniente', anzi ne potrà creare di altri ben più gravi.


Se infatti clicchiamo sul link che ci vien proposto, veniamo rimandati ad una pagina che il sistema di Navigazione Sicura di Google Chrome ci segnala come un sito di phishing. Se proseguiamo ci ritroveremo su una pagina che ripropone perfettamente la pagina di login di Facebook


Per trarre in inganno gli utenti e rendere più credibile la pagina truffa, l'indirizzo internet comincia con "httpfacebook...". Si tratta d'una sorta di attacco omografico di basso livello, in quanto si cerca di far confondere l'utente anteponendo i caratteri che contraddistinguono il protocollo http (hyper text transfer protocol) all'indirizzo dell'URL. In realtà anche 'http' fà parte dell'indirizzo Internet.


Se ispezioniamo con attenzione gli elementi html che costituiscono la pagina, noteremo l'indirizzo 66.220.146.25 che ci riporta alla home di Facebook. Infatti, se introduciamo i nostri dati di login negli appositi campi della pagina truffa, verremo riportati alla home (originale) del social network. In questo modo l'utente crederà che è tutto regolare, ma in effetti avrà consegnato i propri dati di accesso al phisher di turno. Il nostro consiglio è quello di diffidare dai link che ci vengono proposti - anche da amici che potrebbero aver il loro profilo hackerato - e di tener aggiornato browser e sistemi di sicurezza. Con l'occasione rammentiamo che se la vostra pagina si sta avvicinando a 10 mila fan, e non volete rinunciare ai vostri diritti di amministrazione pur non rappresentando un'azienda, un marchio, un'organizzazione o una celebrità, potete pubblicare un blog o un sito web e creare un badge col quale collegare il sito alla pagina su Facebook.

sabato 29 gennaio 2011

Nuova grave vulnerabilità Zero-day in Windows rendering MHTML

Microsoft ha appena rilasciato il Security Advisory 2501696 riconoscendo una nuova falla zero-day in tutte le attuali versioni di Windows (ad eccezione di Server Core). La falla sembra consentire a delle pagine web predisposte l'esecuzione di codice dannoso, in ogni "zona" a prescindere dalla zona specificata. Tutte le applicazioni che utilizzano il rendering HTML di Microsoft possono essere attaccate, inclusi Internet Explorer. Non sarebbero interessati Outlook, Outlook Express e Windows Mail.

Microsoft sta studiando nuove segnalazioni pubbliche di una vulnerabilità in tutte le edizioni supportate di Microsoft Windows. La vulnerabilità potrebbe consentire a un utente malintenzionato di causare a una vittima l'esecuzione di script dannosi quando vengono visitati vari siti Web, con conseguente divulgazione di informazioni. Tale impatto è simile a quello delle vulnerabilità server-side cross-site scripting (XSS). Microsoft è a conoscenza del codice proof-of-concept pubblicato che tenta di sfruttare questa vulnerabilità. Al momento, Microsoft non ha visto alcuna indicazione di sfruttamento attivo della vulnerabilità. La vulnerabilità è dovuta al modo in cui MHTML interpreta le richieste in formato MIME (Multipurpose Internet Mail Extensions) per i blocchi di contenuto all'interno di un documento. E 'possibile, a determinate condizioni per questa vulnerabilità consentire a un aggressore di iniettare uno script lato client nella risposta di una richiesta Web eseguite nel contesto della vittima in Internet Explorer. Lo script potrebbe avvenire con spoofing (falsificazione) di contenuti, fornire dati, o fare qualsiasi azione che l'utente compie sul sito Web interessato a nome degli utenti obiettivo. Microsoft sta lavorando attivamente con i partner nel suo Microsoft Active Protections Program (MAPP) per fornire informazioni che possono utilizzare per fornire più ampie tutele per i clienti. La vulnerabilità descritta in questo advisory, non interessa le edizioni supportate di Windows Server 2008 o Windows Server 2008 R2 come indicato, se installata l'opzione di installazione di Server core. Microsoft sta collaborando con i fornitori dei servizi per trovare soluzioni server-side, ma si consiglia di applicare una o più delle soluzioni alternative sul lato client fornite nella sezione Azioni consigliate da questo advisory per bloccare i potenziali vettori di attacco, indipendentemente dal servizio. Al termine di questa indagine, Microsoft intraprenderà l'azione appropriata per contribuire a proteggere i suoi clienti. Questo può includere un aggiornamento di sicurezza attraverso il suo processo di rilascio mensile oppure un aggiornamento out-of-cycle della protezione, a seconda delle esigenze del cliente.


Vi è dunque prova della vulnerabilità e sembra essere solo una questione di tempo prima di vedere i criminali che cercheranno di sfruttare questo difetto. Per gli utenti, o le aziende che gestiscono solo un numero limitato di computer, Microsoft ha fornito una correzione, strumento che permette di applicare alle proprie impostazioni consigliate senza dover utilizzare le impostazioni per i Group Policy Objects (GPO, criteri di gruppo) o dover modificare manualmente le chiavi di registro. Per ulteriori informazioni su questa opzione di installazione, vedere gli articoli TechNet, Gestione di un Core installazione server e Manutenzione di un Core installazione server. Si noti che l'opzione di installazione Server Core non è disponibile per alcune edizioni di Windows Server 2008 e Windows Server 2008 R2, vedere Confronta Opzioni di installazione Server Core. Le soluzioni Fixit descritte da Microsoft in questa sezione non è destinata ad essere un sostituzione per ogni aggiornamento della protezione. Si consiglia di installare sempre gli aggiornamenti di sicurezza più recenti. Tuttavia, Microsoft vi offre questa soluzione Fixit come opzione di soluzione per alcuni scenari. Per ulteriori informazioni su questa soluzione, visitare il seguente la pagina del Microsoft Security Advisory. La consulenza fornisce ulteriori informazioni sul problema, tra cui gli scenari in cui è possibile applicare o disattivare la soluzione e come applicare manualmente la soluzione. Per attivare o disattivare questa soluzione Fix it, fate clic sul pulsante Fix it o il link posto sotto la voce Abilita o sotto la voce Disabilita. Fate clic su Esegui nel Download del file nella finestra di dialogo, e quindi seguite i passaggi della correzione guidata. Il SANS Internet Storm Center ha pure scritto un post sul suo blog, annotando tutte le località correnti per fornire informazioni su questa vulnerabilità. Se vi imbattete in attacchi diretti contro questa vulnerabilità, potete caricare tutti i dettagli in vostro possesso (pcap, campioni, url, etc) attraverso il suo modulo di contatto che verrà revisionato, condiviso con la comunità (se permesso), aggiornato e postato il diario. Ci vorrà  probabilmente un certo tempo prima che Microsoft sarà in grado di rilasciare una patch per questa vulnerabilità.

venerdì 28 gennaio 2011

Sponsored Stories: utenti Facebook pronti a diventare spam di se stessi


Facebook ha lanciato Sponsored Stories (Storie sponsorizzate), un nuovo formato di annunci che trasforma le azioni degli amici 'in contenuti promossi e senza alcuna notifica da parte del social network. La novità di marketing trasformerà alcuni tipi di “Mi piace” in vera e propria pubblicità e l’intento, a quanto sembra, ha già formato la “fila” di importanti inserzionisti.


Il popolare social network lancia le 'Sponsored Stories' per sfruttare il meccanismo del passaparola in rete su prodotti e servizi fra conoscenti e amici. In questo modo si diventa testimonial su Facebook aggiornando il proprio status con un check-in o cliccando sul pulsante 'Mi Piace' di un determinato prodotto o servizio. A breve, nella colonna di destra del sito - normalmente dedicata alle inserzioni - spunteranno anche alcuni dei post pubblicati dai propri contatti e relativi a prodotti, marchi o locali e negozi.

Tutti coloro che usano Facebook conoscono il pulsante “Like”, col quale è possibile esprimere il proprio "Mi piace" su un commento, un aggiornamento di stato o un check-in (la condivisione della propria posizione geografica) in un determinato luogo. In tal modo i propri “amici” sapranno che si apprezza, in qualche maniera, quel commento, quello stato o quel luogo. Facebook si appresta ora a trasformare i like e i post degli utenti in banner pubblicitari, senza il loro permesso. Sotto il titolo di “Sponsored Story” di fatto si vedrà lo stesso elemento di un check-in o di un post linkato ma evidenziato nella colonna di destra, solitamente dedicata alla pubblicità.


Le 'Sponsored Stories', come spiega al Wall Street Journal Jim Squires, capo del team di marketing di Facebook, consentono agli inserzionisti di acquistare e ri-pubblicare fra le pubblicità i contenuti degli utenti riferiti ai propri marchi. Terminata la fase di test - durata tre mesi - Facebook è ora partito con il lancio insieme a brand come Coca-Cola, Starbucks e Levis, ma anche ad organizzazioni no profit come Unicef. “Le storie sponsorizzate sono copie esatte dei commenti e dei chech degli utenti già visibili sulle bacheche”.

Post di questo tipo - che non potranno essere modificati dagli inserzionisti - appariranno non solo nel tradizionale flusso di contenuti in bacheca, ma anche nella colonna di destra, insieme ad altri messaggi pubblicitari, con l'apposita etichetta «sponsorizzato». L'obiettivo è quello di catturare l'attenzione dell'utente facendo leva sul legame con i propri amici. Gli iscritti non riceveranno nessuna notifica speciale se un proprio post verrà trasformato in pubblicità e non è prevista al momento alcuna opzione per evitare che questo accada.



Il meccanismo, assicura Squires, resta però fedele alle impostazioni della privacy: il post «sponsorizzato» comparirà come pubblicità solo ai contatti che comunque lo avrebbero visualizzato nel normale flusso di aggiornamenti in bacheca. Negli States (il primo paese in cui è partita la nuova feature, mercoledì mattina) sta crescendo una polemica sulle scarse opzioni concesse agli utenti. Al punto che qualcuno ha già accusato il social network di volere far diventare l'utente spam dei propri amici.

Qualche perplessità a tal proposito la esprime David Berkowitz su Mashable: “È improbabile che gli utenti daranno il via ad una rivolta, ma qualche disturbo ci sarà. Il motivo? Considerate queste due domande:
  • Vi sta bene che gli inserzionisti usino i vostri aggiornamenti nelle loro pubblicità senza il vostro consenso?
  • Quando interagite pubblicamente con i vostri marchi o le vostre aziende preferite, a loro andrà bene che questo sia caratterizzato in messaggi che solo i vostri amici possono vedere?”
Dopo una lunga disamina sugli aspetti di questa feature, l'articolo si conclude con la proposta di renderla opzionale (opt-out).

La soluzione potrebbe essere quella di suggerire, in home page, oltre che gli amici, anche possibili inserzionisti interessati ai nostri update. Una volta concesso il permesso, Facebook potrebbe velocemente fornire i nomi degli utenti agli inserzionisti. La dinamica ricorda molto i post su Twitter sponsorizzati. La differenza sta nella quantità di utenti, dato che Facebook è ormai vicino ai 600 milioni e un post sponsorizzato sul suo social network ha un notevole rilievo. Facebook dovrà però fare molta attenzione a non toccare l’argomento privacy in modo inopportuno, invadere eccessivamente o alterare in maniera rilevante il significato attuale del “Like”.

Un bug nelle API Facebook ha permesso messaggi status non autorizzati



Facebook ha imputato un recente incidente di sicurezza che ha portato alla visualizzazione di un post non autorizzato sulla pagina ufficiale di Mark Zuckerberg, ad un bug in una interfaccia di programmazione (API). Lo stesso bug ha colpito altre pagine, ma da Facebook assicurano che non c'è stato alcun accesso non autorizzato ai dati personali degli utenti.

La pagina del CEO di Facebook è stata messa in linea dopo che Martedì sera qualcuno è riuscito a pubblicare un aggiornamento su di essa che criticava la strategia finanziaria della società. "Se Facebook ha bisogno di soldi, invece di andare dalle banche, perché non consentire agli utenti di Facebook di investire in Facebook in un modo sociale? Perché non trasformare Facebook in un 'business sociale' nel modo in cui il vincitore Premio Nobel Muhammad Yunus ha descritto?", si leggeva in parte del messaggio canaglia che ha raccolto più di 1.800 "mi piace" e più di 400 commenti prima che fosse tolto. 

Il messaggio inviato alla fan page di Zuckerberg si riferisce all'annuncio di Goldman Sachs che ha deciso di confinare "a clienti non americani" l'offerta di azioni Facebook, a causa "dell'intensa attenzione da parte dei media". Ci sono state un sacco di speculazioni su come la violazione della sicurezza si sia verificata, con le possibili cause della compromessione, inclusi il phishing, attacchi di forza bruta o anche infezioni da malware. Tuttavia, il portavoce di Facebook ha rivelato a CNET che il colpevole è stato un bug in un editoriale API remota che solo gli attaccanti hanno potuto sfruttare per pubblicare i messaggi non autorizzati. 

Nello specifico, il bug è stato in una API (Application Programming Interface) che consente di pubblicare le funzionalità del sito, ha detto Ryan McGeehan, responsabile della sicurezza in risposta all'incidente a Facebook. "Un bug abilitato nei messaggi di stato da parte di persone non autorizzate in una manciata di pagine pubbliche. Il bug è stato risolto...", ha dichiarato in una email Joe Sullivan, chief security officer di Facebook a CNET. "Chiunque sia stato il responsabile ha avuto soltanto la possibilità di pubblicare sulla pagina e non ha avuto accesso ai dati privati dell'account Facebook".


"Si è trattato d'un errore molto limitato dal fatto che applicato ha avuto solo la possibilità di inviare", ha precisato. "E 'stupefacente il livello di speculazione, senza informazioni precise ", ha proseguito Joe Sullivan - "C'era il (falso) presupposto che vi fosse stato l'accesso non autorizzato alle informazioni... Il nostro impegno è quello di cercare di evitare l'incredibile e rispondere rapidamente quando succede qualcosa ", ha sottolineato. A quanto pare lo stesso bug è stato sfruttato per pubblicare i messaggi non autorizzati su molti altri account di alto profilo in aggiunta a Mark Zuckerberg, ma l'azienda ha rifiutato di assegnare loro un nome. 

Una delle pagine colpite potrebbe essere stata quella del presidente francese Nicolas Sarkozy. Domenica scorsa, qualcuno ha postato un annuncio falso sulla sua pagina fan sostenendo che egli non cercherà la rielezione dopo che il suo attuale mandato sarà terminato. Sarkozy in seguito ha rilasciato un aggiornamento di avvertimento agli utenti della compromissione e dissipare le voci. Facebook ha rifiutato di confermare se la sua pagina sia stata attaccata con lo stesso problema API. CNET ha chiesto a Sullivan se fosse a conoscenza del responsabile della violazione, ma Sullivan ha detto di non poter commentare ulteriormente perché si tratta di una indagine attiva. 

Graham Clulely, senior technology consultant di Sophos, aveva detto in una dichiarazione che "Mark Zuckerberg dovrebbe prestare attenzione alla sua vita privata e alle impostazioni di sicurezza dopo questa imbarazzante violazione". Facebook ha annunciato che ora offre agli utenti la possibilità di assicurare la loro connessione con il sito utilizzando HTTPS (Hypertext Transfer Protocol Secure). L'attivazione di una piena sessione HTTPS elimina la possibilità per i malintenzionati di compromettere l'account Facebook utilizzando strumenti come il Firefox plug-in chiamato Firesheep.

giovedì 27 gennaio 2011

Falsa mail notifica da Facebook service per cambio password scarica malware


Se doveste ricevere una email da un quantomai fantomatico "Facebook Service" che indica che la vostra password è stata cambiata perchè messaggi di spam sono stati inviati dal vostro account, si tratta d'una truffa. Come segnalano gli esperti di Sophos, un nuovo tentativo di phishing da  cybercriminali che stanno inviando e-mail di spamming maligno col tentativo di ingannare gli utenti ignari e spingerli ad aprire un allegato con cavallo di Troia.

I messaggi sono simili al seguente:

Oggetto:
Facebook Service. Personal data has been changed! ID[numero random]

oppure
Facebook Office. Your login details changed! ID[numero random]

Allegato:
Facebook_details_ID[numero random] .zip

Corpo del messaggio:


Good afternoon

A Spam is sent from your FaceBook account.

Your password has been changed for safety.

Information regarding your account and a new password is attached to the letter.
Read this information thoroughly and change the password to complicated one.

Please do not reply to this email, it's automatic mail notification!

Thank you.
FaceBook Service.


Che tradotto:

Oggetto:

Facebook Service. I dati personali sono stati cambiati! ID[numero casuale]

oppure

Oggetto:

Facebook Office. I tuoi dati di login sono stati cambiati! ID [numero casuale]

Allegato:

Facebook_details_ID [numero casuale]. Zip

utilizzando diversi numeri casuali.

Corpo del messaggio:

Buon pomeriggio

Uno spam viene inviato dal tuo account Facebook.

La password è stata cambiata per la sicurezza.

Informazioni del tuo account e una nuova password sono allegati alla mail.
Leggere attentamente queste informazioni e cambiare la password con una complicata.

Si prega di non rispondere a questa email, è una notifica di posta automatica!

Grazie.
FaceBook Service.

Aprire il file allegato è evidentemente una pessima idea - perchè sarete infettati con un Trojan che tenta di comunicare con un sito web ospitato in Russia. I prodotti Sophos rilevano il cavallo di Troia come Troj / Agent-QAY, e il file ZIP, che racchiude il malware Mal / BredoZp-B.

Si spera che la maggior parte delle persone non cadano in una truffa di questo tipo, almeno per l'uso maldestro del linguaggio usato nel messaggio. Ma vi sono tanti utenti di Facebook che andrebbero nel panico al pensiero che la loro password sia stata cambiata e incautamente cliccano sull'allegato senza pensare. Assicuratevi di mantenere aggiornata la sicurezza del computer, e imparate a conoscere i trucchi di social engineering utilizzati dai criminali informatici per indurre l'utente ad attivare il loro malware.

Messaggio di phishing avverte che l'account Facebook sarà disattivato


Protezione Account mette in guardia su un nuovo tentativo di phishing su Facebook proveniente dalla posta elettronica. Chi riceve questo messaggio viene inviato a cliccare su un link per poi inserire il proprio nome, indirizzo e-mail, password e data di nascita al fine di evitare l’apparente disattivazione del proprio account. La ragione che viene data è che altri utenti hanno segnalato questo account come responsabile di comportamenti impropri. Se ricevete un messaggio del tipo:


Il tuo account è stato segnalato e rilevato da un team di servizio di Facebook, in quanto violava i termini di servizio (TOS) per fare un post che contiene:


1. Caricamento fotografia o immagine che viola le condizioni d'uso facebook
2. violazione di diritti d'autore
3. Pornografi o contiene immagini di nudo
4. Umiliazione, odioso, minaccioso, o che incitano alla violenza
5. rendere le azioni che inficiano o insultare altri utenti e vi sono stati
segnalato da altri utenti.


Perché ci sono molte segnalazioni di altri utenti di Facebook
Il tuo account verrà disattivato in un prossimo futuro.
se entro un periodo di 24 ore dopo aver ricevuto informazioni da noi
non immediatamente confermare facebook il vostro account, allora il vostro account facebook verrà disattivato in modo permanente.


Si prega di confermare il tuo account facebook qui sotto:


◊ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ◊
http://security-account-facebook-confirmation.****.***/
◊ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ▬ ◊
vi ringrazio perché aiutare a migliorare i nostri servizi.


Divisione di Membeгs Seгvice
Zynģα ρte. Ltd. (Co. reg. No. 100.001.109.618.389)
Coρyгiģht © 2010 Zγпģα.


Da funzionari dei Servizi Customeг
Copyriɡht © 2011 facebook ™ Inc rete. Tutti i diritti riservati.

Ad un primo sguardo questa truffa basata sul phishing non rappresenta nulla di nuovo. Tuttavia un utente meno accorto potrebbe cadere nella trappola a causa della dicitura finale posta nella mail. Da notare l'uso del traduttore, pertanto il testo della mail la truffa è certamente tradotto in più lingue ed inoltrata in diversi paesi. Se clicchiamo sul link veniamo rimandati ad una pagina che il sistema di sicurezza Comodo Secure DNS ci avvisa essere pericolosa. Comodo Secure DNS è un servizio di risoluzione che risponde alle richieste DNS attraverso la rete mondiale di server.


Se non siete in possesso d'un sistema di verifica URL fraudolenti, verrà visualizzata una pagina di presunta verifica sicurezza con il logo di Facebook Security


Se si clicca su "next" per proseguire la verifica, si presenterà una pagina dove verranno richiesti i propri dati personali


Se completiamo tutti i campi metteremo i nostri dati personali e quelli di login a Facebook in mano al phisher che ha organizzato la truffa


L'ultimo passo sarà quello di confermare i dati di accesso alla propria casella di posta elettronica, in maniera tale da avere il completo controllo. Con questo approccio i criminali online si guadagnano la fiducia degli utenti mascherandosi dietro una parvenza di ufficialità. Non cadete in queste trappole, prestando sempre la massima attenzione agli avvisi ricevuti via mail e controllate sempre che il mittente sia attendibile, se è il caso richiedete assistenza a chi è più informato di voi. Eseguite una ricerca su internet riguardo l'avviso e controllate se il messaggio sia vero o meno, spesso se si tratta di una truffa si troveranno articoli simili sull'argomento.

Facebook più sicuro con connessione HTTPS e nuove verifiche disponibili


A poche ore di distanza dalla clamorosa violazione della pagina di Mark Zuckerberg, Facebook torna a parlare di sicurezza, con un post sul blog ufficiale del social network e firmato dall’esperto di sicurezza Alex Rice:
"Venerdì sarà celebrato il Data Privacy Day, uno sforzo internazionale da parte dei governi, imprese e gruppi di sostegno per aumentare la consapevolezza in merito all'importanza di mantenere il controllo delle informazioni personali. Una parte fondamentale delle informazioni di controllo è sempre stata la protezione dalle minacce alla sicurezza come virus, malware e hacker..."
Per questo motivo Facebook ha sviluppato una serie di sistemi complessi che operano dietro le quinte per mantenere sicuro Facebook. Inoltre, sono state create alcune funzionalità avanzate che è possibile utilizzare per proteggersi ancora di più, come il logout a distanza e la one-time password. Queste caratteristiche sono particolarmente utili quando non si è sicuri se la rete o il computer sono protetto. Oggi Facebook annuncia due nuove funzionalità a tal fine.

Connessione protetta
Se avete mai fatto shopping o on-line banking, avrete notato una piccola icona "lucchetto" che appare nella barra degli indirizzi, o che la barra degli indirizzi diventa verde. Questo indica che il browser utilizza una connessione sicura ("HTTPS") per comunicare con il sito e garantire che le informazioni inviate rimangano private. Facebook attualmente utilizza HTTPS per inviare la password, ma oggi il social network sta espandendo il suo utilizzo, al fine di contribuire a mantenere i vostri dati ancora più al sicuro.


A partire da oggi Facebook vi fornisce la possibilità di sperimentare Facebook interamente su HTTPS. Si dovrebbe prendere in considerazione l'attivazione di questa opzione se si utilizza spesso Facebook da Internet point di accesso pubblico che si trovano nei bar, aeroporti, biblioteche o scuole. L'opzione esiste come parte delle vostre funzioni di sicurezza avanzate, che potete trovare nella sezione "Protezione Account" della pagina Impostazioni dell'account.



Ci sono alcune cose che si dovrebbero tenere a mente prima di decidere di abilitare HTTPS. Le pagine crittografate impiegano più tempo ad essere caricate, quindi si potrà notare Facebook più lento quando si utilizza HTTPS. Inoltre, alcune funzionalità di Facebook, tra cui molte applicazioni di terze parti, non sono attualmente supportati in HTTPS. Facebook lavorerà alacremente per risolvere questi restanti problemi. Facebook implementerà lentamente questo protocollo nel corso delle prossime settimane, ma a breve sarà possibile attivare questa funzione manualmente nelle vostre Impostazioni account. Facebook si augura di poter offrire in futuro HTTPS di default ogni volta che si sta utilizzando Facebook, sottolinea Alex Rice.

Autenticazione sociale
Facebook cerca di mettere le persone al centro di suoi prodotti e per progettare ogni esperienza che avete sul sito in maniera sociale. Ciò è evidente nei prodotti, come le foto, che vengono organizzate secondo le persone che vi appaiono. Facebook vuole portare anche i vantaggi della progettazione sociale per le esperienze per cui tradizionalmente non ci si aspetta, come la sicurezza dell'account. L'autenticazione sociale è l'ultimo sforzo di Facebook  verso questo obiettivo.

La stragrande maggioranza delle persone che usano Facebook non hanno mai avuto un problema di sicurezza. Tuttavia, se Facebook rileva attività sospette sul vostro account, se ci si collega dalla California al mattino e poi dall'Australia poche ore più tardi, può chiedere di verificare la vostra identità in modo che si è certi che il vostro account non sia stato compromesso.

Molti siti in giro per il web utilizzano un tipo di verifica challenge-response chiamata captcha nella loro registrazione o per i flussi di acquisto. Lo scopo di questo test è verificare che siete un essere umano e non un computer cercando di ingannare il sistema. I captcha tradizionali hanno una serie di limitazioni tra cui il fatto di essere (a volte) incredibilmente difficile da decifrare e, poiché hanno solo scopo di difendere dagli attacchi dei computer, vulnerabili agli hacker umani.


Invece di mostrare un captcha tradizionale su Facebook, uno dei modi in cui il social network può verificare l'identità è attraverso l'autenticazione sociale. Facebook vi mostrerà alcune foto dei vostri amici e vi chiederà il nome della persona in quelle foto. Gli hacker più esperti potrebbero trovare la vostra password, ma non sapranno chi sono i vostri amici.


Facebook continuerà a verificare l'autenticazione sociale e raccogliere feedback da voi e dalle comunità di sicurezza su come rendere questa e ad altre funzioni sociali sicuri e utili. Per saperne di più su come mantenere le informazioni sicure su Facebook e su Internet, seguite la nostra pagina di sicurezza.

Protezioni su Firefox e Chrome per bloccare il tracciamento utenti


Anche grazie alle richieste della Federal Trade Commission (FTC), Mozilla e Google lanciano nuove protezioni su Firefox e Chrome in grado di bloccare la pubblicità mirata. In arrivo anche sul prossimo Internet Explorer. L'obiettivo è evitare la tracciatura della navigazione per proteggere la sicurezza dei dati dell'utente.

La pubblicità mirata è un'importante innovazione per l'utente del web, che non viene più bombardato da mille messaggi inutili, ma da comunicazioni basate sulle sue navigazioni e quindi, in teoria, dei suoi interessi. Per sapere cosa interessa o meno all'utente, i fornitori di pubblicità online hanno bisogno di informazioni sulle abitudini web degli utenti. Queste vengono fornite dal browser, esponendo la privacy dell'utente a un rischio certo. 

Le aziende di marketing conoscono il luogo da cui vi collegate, cosa cercate, cosa avete cercato, e cercano di capire cosa cercherete. Possono tracciare un quadro preciso dell'utente, a cui insomma manca solo nome e cognome - dati comunque non difficili da reperire. Il tema è molto sentito dalla Federal Trade Commission. L'autorità statunitense che si occupa dei diritti dei consumatori ha chiesto agli sviluppatori di browser di porre l'utente in controllo pieno dei suoi dati di navigazione. 

Appello che i tre principali nomi della navigazione web hanno accolto subito. Per evitare il tracciamento, Mozilla e Google hanno presentato due estensioni per i rispettivi browser, Firefox e Chrome. Microsoft ne ha prevista una anche per Internet Explorer 9. L'estensione per Firefox verrà lanciata a breve, e si chiama Don't Track me. Funziona secondo un principio di domanda-risposta tra il browser e il sito che si visita. Il risultato è che durante la navigazione, l'utente non verrà più inquadrato attraverso i suoi dati e riceverà pubblicità casuale, non basata sui suoi percorsi di navigazione o sulle ricerche.


Il sistema di Google è invece un'estensione per Chrome, già disponibile, che si chiama Keep my Opt-outs. Funziona secondo un modello collaudato di liste di siti da cui non accettare "cookie", codici in grado di comunicare le preferenze dell'utente a terze parti. Si installa semplicemente e si aggiorna quando è necessario, con gli elenchi dei fornitori di pubblicità su misura. Il risultato è il medesimo dell'opzione per Firefox. Pubblicità senza contenuti personalizzati ed esperienza di navigazione più riservata. 

L'utente può verificare che la privacy rimanga garantita sul sito AboutAds, che contiene un database di aziende di marketing che forniscono contenuti pubblicitari mirati, dai cui messaggi è ora possibile isolare il proprio browser. La novità è quindi molto interessante e appare come un aiuto per proteggere la privacy degli utenti, ma per un suo completo funzionamento sarà da valutare la volontà di sottostare alle impostazioni scelte dall’utente da parte dei siti Internet, dato che la cosiddetta OBA (online behavioral advertising), cioè la pubblicità online comportamentale. 

In effetti questo tipo di pubblicità, nonostante sia alquanto invasiva per la privacy di ognuno, appare come una delle soluzioni più efficaci per gli inserzionisti, i quali hanno in tal modo l’opportunità unica di raggiungere in maniera semplice e diretta un target di utenti ben preciso, mostrando un determinato prodotto a un soggetto potenzialmente più indicato a recepire il messaggio in quanto interessato a quel genere di bene, aspetto che ha portato però ad un certo abuso del suo utilizzo.

mercoledì 26 gennaio 2011

Falsi messaggi email da Facebook e Goolge scaricano malware


Sophos ha intercettato dei messaggi fraudolenti provenienti da sedicenti team di Goolge e Facebook, che contengono allegati che scaricano malware. In primo luogo, delle email sembrano provenire dai ragazzi di Google, il cui fantomatico mittente è resume-thanks@google.com. Il loro messaggio, intitolato "Grazie da parte di Google!", dice di aver ricevuto la vostra candidatura e stanno indagando sulla giusta posizione all'interno della propria rete aziendale. Se avete dimenticato i dettagli della vostra domanda di lavoro dovrete cliccare sull'applicazione allegata, alla quale si attribuisce il nome di CV-20.100.120-112. zip.

Ed ecco poi un messaggio da Facebook il cui mittente è un quanto mai fantomatico - ma verosimile per chi non è avvezzo a queste tipologie di truffe - update@facebook.com intitoltato: "Tu hai un nuovo messaggio su Facebook!" - che dichiara di aver ricevuto un messaggio personale da un amico senza nome.


Invece di visitare il sito di Facebook, Facebook ha gentilmente allegato il messaggio personale alla email con un file chiamato message.zip Facebook. Si spera che nessuno di voi sia così stupido da cliccare sull'allegato, perché è - ovviamente - "maligno". Prodotti come Sophos rilevano il file ZIP in entrambi i casi individuati come Troj / ZipMal-AM e che contengono il worm W32/AutoRun-BHX worm. Siate sempre diffidenti dagli allegati di posta elettronica non richiesti, e assicuratevi che la protezione anti-virus sia aggionata. Campagne di malware possono assumere diversi travestimenti e gli utenti devono imparare a stare in guardia.

Hackerata la pagina ufficiale di Mark Zuckerberg su Facebook!


Anche il creatore di Facebook stesso non è al sicuro, nè immune dagli attacchi di hacker sul social network. Dopo l'attacco hacker subito dalla pagina ufficiale di Nicholas Sarkozy, sulla pagina ufficiale di Mark Zuckerberg su Facebook è apparso uno strano messaggio dell'amministratore delegato, secondo TechCrunch che per primo ha notato l'anomalia.


Secondo TechCrunch - e numerosi altri siti di tecnofili online - l'illustre fan page del fondatore di Facebook è stata hackerata, rovinata e, di conseguenza, chiusa. Sulla pagina è apparso ieri uno strano aggiornamento di Status che recitava testualmente:
"Let the hacking begin: If facebook needs money, instead of going to the banks, why doesn’t Facebook let its users invest in Facebook in a social way? Why not transform Facebook into a ‘social business’ the way Nobel Price winner Muhammad Yunus described it? http://bit.ly/fs6rT3 What do you think? #hackercup2011"
che tradotto:
"Lasciate che l'hacking cominci: se Facebook ha bisogno di soldi, invece di andare dalle banche, perché non consente agli utenti di Facebook di investire in Facebook in un modo sociale? Perché non trasformare Facebook in un 'business sociale' nel modo in cui il premio Nobel Muhammad Yunus ha descritto? http://bit.ly/fs6rT3 Cosa ne pensi? # hackercup2011
Chi ha scritto un messaggio così strano e apparentemente delirante? Beh, se si credeva che nella pagina, fosse stato Zuckerberg. Infatti, poco dopo la pubblicazione, il post aveva raggiunto più di 1.800 "mi piace" e quasi 500 commenti. Ovviamente, non è stato Zuckerberg a scrivere. O, almeno, Tech Crunch è abbastanza sicuro che non lo abbia fatto. Invece, sembrerebbe che la sua fan page sia stata violata.


A riprova di ciò, come abbiamo potuto verificare, al momento la pagina risulta irraggiungibile. In realtà, finora, Facebook non ha fornito ancora alcuna spiegazione. Noi non sappiamo come l'hack sia stato perpetrato. L'hashtag # Hackercup2011 inserito nel messaggio, si riferisce al corso concorso organizzato da Facebook. Il concorso degli hacker per risolvere "i problemi su base algoritmica", ha detto la società. La società di sicurezza Sophos, per l'occasione, ha realizzato un video sull'hack:



Tuttavia, le pagine delle celebrità sui social networking sono spesso gestiti da un intero team di operatori marketing. Questo per poter tenere il passo delle interazioni sociali online dei milioni di amici su Facebook o seguaci di Twitter, che si ottiene generalmente attraverso le capacità di più di una singola persona. Di seguito, per chi non la conoscesse, l'istantanea della copia cache di Google della pagina di Mark Zuckerberg


In compenso è ancora online un'altra vecchia pagina non aggiornata da tempo. In assenza di un hack vero e proprio, potremmo ipotizzare che sia stato violato l'account di uno dei tanti amministratori, rubando la password di accesso e dunque potento agire indisturbato sulla pagina. Nel caso più spinto si potrebbe ipotizzare una falla di sicurezza nelle pagine fan di Facebook. A questo punto ci si chiede quanto possano essere sicuri i nostri account su Facebook nonostante tutte le implementazioni di sicurezza.