sabato 12 febbraio 2011

Clickjacking: "lo scherzo di san valentino che sta facendo il giro del mondo!"


Torniamo a parlare di clickjacking, cioè "scippo dei click". E' di poche ore l'articolo che abbiamo pubblicato sulle "truffe di San Valentino", occasione ghiotta per gli spammer. Il clickjacking consiste nel "catturare" (con l'inganno) il click del mouse e redirigerlo su un oggetto diverso da quello che l'utente intendeva cliccare. Se applichiamo la tecnica del clickjacking su Facebook, in questo caso una nuova "pagina clickjacking" diffonde il suo spam attraverso le bacheche degli utenti del social network tramite la caratteristica del "Like".


L'attacco, che ha già colpito migliaia d'utenti, utilizza una combinazione di ingegneria sociale e di clickjacking per far sembrare come se un utente abbia "voluto" un link. La pagina truffaldina in questione - esterna a Facebook e che utilizza il protocollo Open Graph - s'intitola "LO SCHERZO DI SAN VALENTINO CHE STA FACENDO IL GIRO DEL MONDO!".


Cliccando sul falso pulsante di play, verrà generato un post sulla bacheca dell'utente che diffonderà lo spam e soprattutto la visualizzazione del sito esterno collegato alla pagina-truffa. Chi ha cercato di accedere al presunto video (in realtà si tratta d'una foto "montata" ad arte) si è trovato iscritto ad un'applicazione nascosta (attraverso la tecnica sopracitata del clickjacking) dietro una pagina esterna a Facebook, come è possibile ricavare dal debugging della pagina in questione.


Il nostro consiglio è quello di bloccare l'applicazione cliccando su questo link, soprattutto nel caso in cui malauguratamente un vostro amico sia caduto nella truffa. Ricordiamo a chi invece ha cliccato sulla foto di rimuovere il post generato sulla propria bacheca, come da figura qui di seguito



Diciamo subito che non si rischia il furto dell'account, ma cliccando sulla foto dello spammer questo userà i click per iscrivere l'utente a sua insaputa alla pagina truffa. Un'altra possibilità è che lo spamer usi i click dell'utente, come in questo caso, per visualizzare il suo sito Web ed indurre l'utente ad effettuare dei download, che altrimenti non avrebbe mai fatto.

Nessun commento:

Posta un commento