domenica 13 marzo 2011

Phisher utilizzano la prenotazione nuove e-mail dell'account Facebook

Un nuovo attacco di phishing inganna gli utenti di Facebook esponendo le loro credenziali di accesso, incoraggiandoli a sottoscrivere un account email new@facebook.com. Lo scorso novembre il sito di social networking ha annunciato una nuova piattaforma di messaggistica che sfonde e-mail, SMS e chat in un'unica "casella di posta sociale". La nuova funzionalità è gradualmente da poco disponibile e gli utenti hanno la possibilità di utilizzare receive@facebook.com come indirizzo email.


Quando arriverà il momento agli utenti verrà chiesto di scegliere il proprio nome utente, se non già uno associato al loro account, che sarà uno nel qual caso automaticamente utilizzato. Tuttavia, i truffatori cercano di sfruttare alcune delle confusioni che circondano questa nuova funzione e spaventare gli utenti che il loro nome desiderato sarà preso da qualcun altro. I ricercatori di sicurezza M86 Security Labs avvertono che ci sono messaggi di spam che circolano del tipo "Just applied for my own @facebook.com email account. Get one before someone takes your name [link]" ("ho appena applicato il mio account di posta elettronica own@facebook.com. Prendine uno prima che qualcuno prende il tuo nome [link]")


I link canaglia rimandano gli utenti a pagine Facebook app che visualizzano moduli di login, suggerendo che hanno bisogno della re-autenticazione. Il link bit.ly reindirizza gli utenti a un Facebook App (apps.facebook.com/xxxxxpage), che contiene un iframe che punta a un sito compromesso che ospita la pagina di phishing.


Una volta che un utente fa clic su Avanti, le loro informazioni sono inviate al phisher, i loro account sono dirottati immediatamente e il loro status di Facebook si aggiorna per tentare di truffare i loro amici / familiari.


Per cercare di convincere gli utenti che nessun "furto" è in corso, la pagina di phishing continua l'inganno, chiedendo all'utente di scegliere quali username vorrebbero secure@facebook.com. Una volta premuto Invio,  viene presentata una falsa pagina di conferma.


Questa truffa, in cui i phisher hanno messo uno sforzo supplementare per evitare di destare sospetti, è ben progettata. Pertanto, agli utenti che finiscono inserendo i propri dati di login viene presentata una pagina di congratulazioni.


A prima vista, l'URL nascosto dietro il link bit.ly utilizza un redirect, attraverso la pagina Yahoo! Mobile Login. Gli esperti di M86 sottolineano che tutte queste pagine sono ospitate su siti legittimi compromessi. I phisher preferiscono questi, perché sono più difficili da abbattere e possono essere utilizzate per lunghi periodi di tempo. E' possibile che sul sito è in esecuzione una versione senza patch di WordPress, come il link qui sopra che mostra il carico utile risiedere in una cartella 'wp', specifica di WordPress.


Facebook ha recentemente aggiunto alcune garanzie per avvertire gli utenti di accessi non autorizzati agli account Facebook. È possibile modificare le impostazioni dell'account andando a https://facebook.com/editaccount.php. Nella sezione 'Protezione dell'account, selezionare 'Modifica' e selezionare le caselle di controllo di cui sopra. Selezionando queste opzioni, vi verrà notificato quando un nuovo computer o dispositivo mobile ha l'accesso al vostro account Facebook. Con questa campagna di phishing Facebook, gli utenti riceveranno una notifica simile a quella qui sotto:


Per ulteriore sicurezza, si dovrebbe anche abilitare l'impostazione Navigazione Sicura in 'Protezione dell'account', soprattutto se si utilizzano hotspot WiFi pubblici nelle caffetterie, librerie e aeroporti. Gli utenti sono avvertiti che Facebook vi avviserà via e-mail e SMS se qualcuno avrà accesso al loro account da un nuovo computer o dispositivo. Questa opzione può servire come una buona indicazione se l'account è stato compromesso. Attualmente vengono utilizzati diversi e più livelli per diffondere questa campagna di phishing.

Nessun commento:

Posta un commento