giovedì 21 aprile 2011

Scopri chi visita il tuo profilo Facebook con javascript ma è spamming


Come abbiamo ripetuto in altre occasioni non utilizzate mai codici javascript loggati su Facebook, suggeriti da pagine interne o esterne al social network, dove si suggeriscono fantomatiche procedure per ottenere determinati risultati che altrimenti sarebbero impossili. Una delle ultime truffe che si sta diffondendo su Facebook riguarda una tra le funzionalità più auspicate da molti, ma che non è implementata da Facebook e cioè la possibilità di conoscere chi visita il proprio profilo. Se prima ci si limitava soltanto ad effettuare delle procedure per diffondere fantomatiche pagine o applicazioni, adesso si coinvolge l'utente e nel caso non fosse chiaro, si accompagna il tutto con un video esplicativo.


Poichè Facebook si affida così pesantemente sul javascript, è possibile digitare dei codici nella barra degli indirizzi che permettono, nella normale modalità di funzionamento di Facebook, di fare cose che normalmente non si sarebbe in grado di fare. Non è "hacking" esattamente, ma impiega lo stesso tipo di abilità che gli hacker usano quando si creano delle applicazioni rogue. La parte peggiore è il fatto che utilizzando i codici di controllo della stessa (o "API") che utilizza Facebook, non c'è modo per Facebook di controllare ciò che state facendo, quindi è assolutamente pericoloso. Dunque, i cybercriminali possono indurre l'utente ad effettuare diverse azioni, senza alcuna sua consapevolezza.



La pagina, della quale esistono numerosissime versioni, spiega che bisogna copiare il codice che vedete nella finestra di cui sopra ed incollarlo sulla barra degli indirizzi del browser mentre si è loggati su Facebook. Noi abbiamo ovviamente sostituito l'URL con degli asterischi. Nel frattempo và in onda la messa in scena: viene generato automaticamente un post sulla bacheca del profilo, dove vengono visualizzati nomi di utenti in ordine alfabetico prelevati dalla lista amici e ai quali viene attribuito un certo numero random di visualizzazioni. Cosicchè, oltre ad ingannare l'utente sprovveduto, il post sarà visibile agli amici che saranno indotti a cliccare sul link, diffondendosi viralmente su Facebook.


Avrete così dato la possibilità allo spammer di agire a nome vostro, eseguendo una serie di istruzioni automatiche. Infatti dal server C & C saranno inviati dei comandi che permetteranno al profilo compromesso di inviare messaggi istantanei attraverso la chat a tutti gli amici. Questo semplice esempio spiega chiaramente quali sono i rischi di abusare dell'uso di javascript su Facebook. Ovviamente funziona con tutti i browser comuni e non vi è alcun modo per proteggersi se non quello di non effettuare alcuna procedura. Nessuno vi dirà mai chi ha  visitato il vostro profilo Facebook. Nel caso ci siate caduti, cambiate immediatamente la password di accesso al vostro profilo. Alcuni URL sono stati bloccati, ma altri sono pronti a colpire e mietere vittime su Facebook.


Esistono diversi tipi di codici maligni, quelli che circolano su Facebook sono spesso trojan che arrivano tramite allegati di posta elettronica. Ma il malware può trasmettersi su Facebook attraverso messaggi inviati dagli amici in posta o in chat, ed è lo stesso utente a consegnare i dati di accesso al proprio profilo, come in questo caso. In sostanza, gli utenti vengono contattati dai loro amici e vengono invitati a visionare una certa pagina seguendo uno short URL. Altre volte ancora sono le applicazioni ad effettuare queste operazioni. Se vi imbattete in una truffa simile non cliccare sul link assolutamente, avvertite immediatamente il vostro amico e contrassegnate il post come spam (non il messaggio altrimenti mettete a rischio l'account amico). Le regole sono le medesime presenti nel manuale antiphishing: se non siete certi del collegamento non cliccate.

Nessun commento:

Posta un commento