martedì 4 gennaio 2011

Facebook scam: il malware arriva dai messaggi in chat degli amici

Dopo il massiccio attacco dei giorni scorsi attraverso la chat di Facebook, l'ennesimo pericolo minaccia la sicurezza degli utenti. Una lettrice del blog di sicurezza Naked Security di Sophos, ha segnalato una strana conversazione che ha avuto sulla chat di Facebook. Una vecchia amica, con la quale non aveva mai interagito, ha avviato improvvisamente la chat dalla quale veniva invitata a visitare un sito internet.

Prima di questo nuovo attacco, l'ultimo in ordine di tempo consiste in un messaggio ricevuto da un amico sulla chat di Facebook, che invita a cliccare su un link per vedere una foto.  A questo punto si viene avvertiti che la foto non è più disponibile perchè è stata spostata altrove e si viene invitati a cliccare su un pulsante per poter visualizzare la foto. Se si clicca sul pulsante, in realtà non si visualizzerà alcuna foto ma verrà avviato il download d'un file eseguibile che consiste nel vero e proprio malware, pronto ad infettare il sistema operativo. Se, infatti, improvvisamente, mentre siete online sulla chat di Facebook, vi si apre la finestra di dialogo di un vostro contatto amico contenente messaggi del tipo Foto :D http://www.facebook.com/l.php?u=http://xxxyyy.com/photo/ o Foto :D http://apps.facebook.com/searchurphotos/index.php?=12345678

vuol dire che sul computer del vostro amico è stato scaricato un software dannoso, ed è possibile che le sue informazioni di accesso siano state oggetto di un'azione di phishing mirata a inviare spam dal suo profilo. Nella maagior parte dei casi si tratta dell'ormai famoso Worm Palevo, la cui variante originale è stata scoperta tempo fa da BitDefender. Palevo si diffonde cliccando sui link di evidente spam che arrivano automaticamente tramite i servizi di messaggistica istantanea (il più noto è Messenger) dagli amici che a loro volta hanno contratto il Worm, invitando i contatti della lista a visualizzare questa o quella pagina che contiene questa o quella cosa. Si tratta di decine e decine di siti creati ad hoc da dove scaricare il malware, molti dei quali sono stati già disattivati o il cui accesso è stato bloccato grazie alle segnalazioni e ai servizi online di verifica del DNS.


Il nuovo attacco malware, segnalato da Tracy attraverso una e-mail inviata a Sophos, la nota software house produttrice di programmi per la sicurezza, avviene sempre attraverso messaggi immediati provenienti da amici, ma non attraverso un messaggio seguito da un link, bensì dopo aver svolto un lungo pseudo-dialogo. La conversazione che si è svolta in chat tra Tracy e la vecchia amica Hazel è stata la seguente:

[Phillips Hazel]
Ciao Tracy, sei in giro?

[Tracy]
9:54 pm
ciao Hazel, come stai

[Phillips Hazel]
9:54 pm
Voglio che tu faccia una prova e poi mi dai il risultato

[Tracy]
9:54 pm
ok

[Phillips Hazel]
9:54 pm
ok Tracy, prova questo test e fammi sapere cosa si ottiene .. Io non riesco ad andare oltre il punteggio105, è paranoico [LINK]

[Tracy]
9:55 pm
certo un secondo eccomi

[Phillips Hazel]
9:55 pm
fammi sapere cosa riesci ad ottenere per favore, fino ad ora tutti mi hanno battuto, ad eccezione di Chris LOL fai attenzione alcune delle domande che sono difficili ;-);-)

[Tracy]
9:57 pm
sei davvero tu o è qualche scherzo di Facebook?
domanda di prova, chi era il nostro insegnante alla classe 7?
Mi dispiace essere sospettosi, ma ci sono tante truffe in giro per Facebook, dove si ricevono link dagli amici per guardare come sono, ma non sono
Quindi, se sei veramente tu, saprai quale insegnante avevamo alla claasse 4 :):)

Hazel è offline.

Nella sua e-mail Tracy ha spiegato perchè è stata prudente pensando che non fosse in realtà la sua vecchia amica di Facebook, e ha resistito senza cliccare sul link proposto:
"Ero sospettosa perché è la prima volta che ha provato a parlare con me, lei non sembra usare molto FB molto, non ha mai risposto alla mia domanda "come stai? ". E sono convinta che se avesse provato a parlare con me non lo avrebbe fatto scrivendo ma parlandomi, dato che ci conosciamo dalla scuola. Poi, quando le facevo delle domande di prova andava soltanto off line. Hmm."
In realtà, ciò che è successo è che l'account di Facebook dell'amica di Tracy è stato violato, e truffatori lo usano per diffondere messaggi di spam. La loro speranza è che entrando in contatto con gli utenti tramite la funzione istantanea di chat potrebbero essere in grado di ingannare più persone ed indurli a fare clic sui loro collegamenti. E visto che il truffatore non ha risposto al messaggio "come stai?" da Tracy, è possibile che i messaggi utilizzino uno script automatico, che consente conversazioni e risposte predeterminate attraverso un sistema BOT. Se avesse fatto clic sul link, in questo esempio, l'utente sarebbe stata portato in una pagina web che pretende di essere la "International High IQ Society". Un messaggio pop-up sullo stato della pagina è:

Una sfida IQ è stato inviato da:


Hazel Phillips


Pensi di poterlo battere?


[Pulsante Accept / Decline]

Se si sceglie di accettare, si verrà reindirizzati attraverso una serie di pagine web diverse. Quando gli esperti di Sophos l'hanno provato, si sono ritrovati su un sito web chiamato FlirtyMob.

http://nakedsecurity.sophos.com/

che si descrive così:

.. FlirtyMob è un servizio in abbonamento. Finché non si rinuncia, si ha accesso illimitato al costo chatroom 3GBP ogni 7 giorni più gli oneri di collegamento dell'operatore standard. Per opt-out ..

Naturalmente, è molto probabile che FlirtyMob non è dietro l'abuso degli account degli utenti di Facebook e non è consapevole dello spamming. Infatti, se si cliccato sul link da un'altra parte del mondo potreste essere portati in un sito completamente diverso. Forse gli spammer stanno guadagnando provvigioni dal traffico verso i siti come FlirtyMob. Il sistema potrebbe essere più pericoloso, naturalmente. In passato, gli utenti di Facebook hanno ricevuto messaggi di scam da amici apparentemente bloccati all'estero, chiedendo loro soldi perchè hanno perso il loro passaporto, portafogli o biglietti aerei. Fortunatamente, se avete lo stesso spirito di Tracy sarete in grado di riconoscere rapidamente se un messaggio che arriva dal nulla da un amico di Facebook sia reale o meno e trattato con sospetto. Ci auguriamo che la sua amica si renderà anche conto per meglio proteggere il suo account di Facebook anche in futuro. Se siete un membro di Facebook seguite la pagina di Protezione Account su Facebook, per essere sempre aggiornati con le ultime notizie di sicurezza e le minacce sul social network.

Nessun commento:

Posta un commento