martedì 26 aprile 2011

Facebook introduce il pulsante Invia: una nuova minaccia per gli utenti?


Poco più di un anno fa, Facebook ha introdotto il pulsante Like per aiutare a condividere le cose che valgono per le persone con tutti i loro amici. Si trattava delle più importanti novità presentate da Facebook agli sviluppatori durante la conferenza F8. E proprio qualche giorno fà Facebook ha celebrato il primo anniversario del Like Button.  Per gli utenti registrati su Facebook, il pulsante serve ad evidenziare agli amici il gradimento che hanno avuto per una pagina o contenuto. Il “Like button” fa parte di una serie di “social plugin” e widget che Facebook ha rilasciato per rendere il Web più sociale mediante l’Open Graph Protocol.

Ed i truffatori non hanno perso tempo a sfruttare questa funzionalità per i loro nefandi scopi. Infatti, l'anno scorso è stato scoperto un analogo utilizzo fraudolento dei click sulla funzionalità mi piace di Facebook, battezzato dall'inglese likejacking. Questa tecnica fraudolenta deriva dal clickjacking, una tecnica utilizzata da alcuni anni dai cybercriminali per intercettare il click di un utente e per dirottarlo su siti di malware o per eseguire azioni che l’utente non aveva intenzione di fare.

Ad un anno di distanza dalla scoperta, però, Facebook non ha ancora trovato una soluzione definitiva al problema. Probabilmente una possibile soluzione potrebbe essere quella di richiedere un’autorizzazione all’utente tramite un messaggio pop-up del tipo: “vuoi confermare questo link come Mi Piace?”. Questo aggiungerebbe quantomeno un ulteriore grado di sicurezza che renderebbe più difficile la diffusione di worm e truffe attraverso il likejacking.

Succesivamente, in tempi recenti, il pulsante Like ha implementato una nuova funzione che permette di condividere l’oggetto (pagina, mood, foto, ecc.) apprezzato sulla propria bacheca, proprio come si può fare con il pulsante “condividi”. Una nuova funzionalità che ha visto crescere lo spam su Facebook, perchè l'utente cliccando "Mi Piace" su un oggetto o pagina, dove è previsto condivide il contenuto sulla propria bacheca, rendedolo di fatto visibile a tutti i propri amici. E' evidente che un sistema simile ha fatto gola a molti spammer.


Adesso Facebook concede un fratello minore al pulsante Like, e cioè il "Send Button" ("Pulsante Invia"). Col nuovo pulsante, integrabile su qualunque sito Web sarà possibile condividere informazioni sotto forma di link  e testo soltanto con alcuni sottoinsiemi della propria rete sociale: un gruppo di Facebook, un singolo amico o una limitata lista di persone (attraverso i messaggi interni del sito) oppure un singolo indirizzo e-mail. Secondo Facebook ci sono molti momenti in cui le persone vogliono condividere qualcosa solo con alcune persone.

Così oggi, Facebook sta introducendo il pulsante Invia, il modo più semplice per condividere le cose privatamente con i gruppi e gli individui. Il pulsante Invia (Send) è un plug-sociale con il quale è possibile condividere con un solo individuo o tutto l'intero gruppo in esecuzione in un solo click un dato oggetto. Il pulsante "Invia" le unità di traffico, consentendo agli utenti di inviare un link e un breve messaggio alle persone che potrebbero essere più interessate.

In questo modo non si ha bisogno di lasciare la pagina web su cui vi trovate o compilare un lungo form. Rispetto alle alternative, il pulsante Invia ha un minor numero di passaggi necessari, e si elimina la necessità di cercare indirizzi e-mail auto-suggerendo ad amici e gruppi. Ed è questo il punto che a noi non ci convince e cioè il fatto che qualcuno possa spedire nella posta dell'utente direttamente un dato contenuto.

Se per ipotesi lo spammer di turno ha creato un gruppo che apparentemente risulta legittimo e raccoglie centinaia di migliaia di utenti, sarà possibile allo stesso inviare contemporaneamente a tutti gli iscritti un link fraudolento, che per esempio rimanda ad un sito malware o scam, o che può scaricare virus sul PC delle vittime designate. Si possono fare molti esempi, ma è evidente che in questo modo non c'è uno sbarramento o un passaggio che filtri questa azione. In attesa che Facebook possa introdurre, a questo punto, un sistema antispam per la posta, vi consigliamo di prestar attenzione ai gruppi ai quale vi iscrivete e alle amicizie che accettate, altrimenti si parlerà di Sendjacking. Coming soon per ulteriori aggiornamenti.

Nessun commento:

Posta un commento