giovedì 24 marzo 2011

Scam su Facebook sopravvive grazie a estensione rogue di Firefox


Una truffa sfrutta Facebook per diffondersi tra gli utenti, ma resta attiva anche se viene bloccata l'applicazione sul social network ad essa collegata, in quanto si tratta d'un falso add-on per Firefox. Il team di sicurezza di Facebook ha bloccato l'applicazione, grazie al suo sistema automatico di rilevamento spam, ma ci si aspetta una nuova ondata di attacchi che sfruttano questo nuovo sistema.

I ricercatori di sicurezza di Symantec hanno  individuato, una nuova truffa che colpisce gli utenti di Facebook che attraverso un trucco procede all'installazione di una estensione di Firefox canaglia al fine di rimanere attiva più a lungo possibile. I truffatori promettono agli utenti la possibilità di vedere gli utenti più attivi sul proprio profilo, una funzionalità che non esiste su Facebook. Nei messaggi di spam si legge: 

"Non riesco a credere che si può vedere chi visualizza il tuo profilo PROFILO! posso vedere la TOP 10 delle persone e sono veramente a bocca aperta che il mio ex mi sta ancora controllando qui ogni ora. Potete vedere chi controlla il : [link] " ("I cant believe that you can see who is viewing your profile! I can see the TOP 10 people and i am really OPENMOUTHED that my EX is still checking me every hour. You can also see WHO CHECKS YOUR PROFILE here: [link]"). Come nella maggior parte delle truffe, il link porta gli utenti ad una applicazione di Facebook canaglia che chiede il permesso per accedere ai propri dati posti sul loro profilo.


Se abilitata, l'applicazione inizia a postare lo spam sui muri delle vittime a loro insaputa. Sono poi reindirizzati a una pagina chiedendo loro di installare una speciale estensione di Firefox chiamata "Facebook Connect". Per farla sembrare più credibile, la pagina usa la grafica rubata dal sito di Mozilla Add-ons e sostiene che l'estensione viene scaricata per 27.000 volte a settimana. E sono in molti, a tal proposito, a criticare il sistema che adotta Mozilla per installare gli add-on.


"Naturalmente questa estensione 'Facebook Connect' di Firefox non si trova sul dominio ufficiale, ma Mozilla la ospita su un sito di terze parti. Non è raro, quindi che la maggior parte degli utenti potrebbe ignorare l'avvertimento generico visualizzato da loro quando si installa l'estensione", dice Candid Wueest ricercatore di Symantec. Esso mostra un sito che pubblicizza la funzione "statistiche profilo", ma chiede agli utenti di partecipare ad un primo sondaggio.


Per ogni utente che fa ciò, i truffatori guadagnano una commissione. Gli attaccanti, sfruttando l'estensione di Firefox aumentano la durata della vita del loro truffe, perché anche se gli utenti rimuovono l'applicazione canaglia Facebook o lo spam postato sulle loro bacheche, l'add-on continuerà a visualizzare i pop-up. Inoltre, il contenuto può essere cambiato in qualcosa di ancora più dannoso se gli scammer lo desiderano, come gli annunci scareware che spingono a falsi prodotti antivirus.


Il team di sicurezza di Facebook ha già reagito e rimosso le applicazioni e i posti corrispondenti nello spazio dell'utente. Ma, come sempre tenere un occhio o due aperti dato che dove c'è una truffa, ce ne sono altre a seguire. Symantec ha anche visto che la stessa estensione viene pubblicizzata in truffe script manuali. Queste sono quelle che si ottengono reindirizzando l'utente a un sito Web che chiede di copiare / incollare un codice javascript offuscato nel browser o, meglio ancora, chiede all'utente di inviare direttamente il messaggio per almeno cinque volte su Facebook. 

Un sistema di protezione semplice e buono contro questa variante è quello di consentire l'accesso SSL su Facebook, in quanto il pop-up viene generato solo quando la versione http è caricata e non sul sito https. Inoltre, questo contribuirà a garantire le vostre sessioni da sniffer come l'estensione fraudolenta Firesheep, un componente aggiuntivo per Firefox che sfrutta una vulnerabilità nelle impostazioni di cifratura dei cookie di molti dei più popolari siti della Rete. Per eludere almeno in parte questi tentativi di furto di password, Facebook offre ai propri utenti la connessione cifrata basata sul protocollo sicuro HTTPS per tutto lo scambio di dati. Prestate inoltre attenzione ai componenti aggiuntivi che andate ad installare sul browser di Mozilla.

Nessun commento:

Posta un commento