martedì 31 maggio 2011

Falsi allarme di sicurezza su Firefox portano scareware nel computer


I fornitori di software di sicurezza fasulli non lasciano crescere molto l'erba sotto i loro piedi e migliorano continuamente la loro ingegneria sociale per attirare le loro esche. Mentre all'inizio del mese abbiamo visto diverse finestre pop-up che appaiono come false scansioni di computer Mac infettati da Malware, è adesso Microsoft ad essere preso di mira ed in particolare gli utilizzatori di Firefox. Una nuova truffa ha infatti come oggetto gli utenti del noto browser appena aggiornato di casa Mozilla. Lo scam consiste nel rilevamento da parte dei cybercriminali della stringa user-agent dal vostro browser web e nella visualizzazione di un falso allarme di sicurezza di Firefox, se si utilizza tale browser di navigazione. L'User Agent altro non è che una sequenza di caratteri (stringa) che rappresenta e identifica una richiesta al web server.


Al momento dell'invio di una richiesta http da un browser (ma anche altro software di Rete) fra le varie informazioni inviate è presente anche una stringa, chiamata userAgent String, il cui prefisso è User Agent, che comprende informazioni relative al browser utilizzato, ma che può contenere anche altri dettagli come il tipo di sistema operativo utilizzato e la versione. "Approfittando di informazioni dettagliate sul computer dell'utente e del software, i cybercriminali hanno la possibilità di inviare attacchi molto più specifici, attraverso tecniche credibili di ingegneria sociale", ha detto Chester Wisniewski, senior security advisor di Sophos. Se si clicca sul pulsnate "Avvia protezione" scaricherete lo scareware più recente, falsi programmi anti-virus che si esibiranno esattamente nel modo che ci si aspetta da un falso programma anti-virus.


Saranno rilevati fedelmente dei virus inesistenti sul vostro computer fino a quando ne saranno registrati 80 o più. Se siete un utente di Firefox e vedete un avviso di virus sul computer, sappiate che è falso. Firefox non include uno scanner di virus all'interno di esso e sarà solo un avviso per visitare le pagine dannose. Al di là della finestra di dialogo, si presenterà una pagina per qualcosa che si chiama Personal Antivirus o altro nome, che è un prodotto di sicurezza canaglia. Diversamente dalla maggior parte dei volte, però, non si è data la possibilità di scaricare una versione demo, scansione gratuita, o qualche altro esempio di software. Si presenta semplicemente una pagina che offre il software per l'acquisto al basso prezzo di 59,95 $ (un risparmio di 33,30 dollari rispetto ai già prezzi esorbitanti di software assolutamente inutili).


In realtà Firefox, nel caso di tentativo di accesso ad un sito web di malware o phishing, presenta una finestra rossa di dialogo di allerta per informare l'utente che sta per accedere ad un sito dannoso. I criminali cercano di trarre in inganno gli utenti meno esperti utilizzando questo stratagemma e creando pagine di avvisi con strutture simili a quelle autentiche. Se si riceve un avviso su un sito web pericoloso da parte Firefox si può sempre andare sul sicuro chiudendo immediatamente il browser. Abbiamo già visto truffe simili e probabilmente ne continueremo a vedere, adesso che i cybercriminali hanno preso di mira i browser di ogni sistema operativo in maniera da raccogliere i dettagli attraverso richieste HTTP inviate dai nostri dispositivi. 

domenica 29 maggio 2011

Javasticking: ascolta su Facebook la tua musica preferita ma è scam


Facebook ha stretto di recente un accordo con un servizio di musica, da cui è possibile ascoltare migliaia di brani gratuitamente, che permetterà di usufruire di una vasta libreria musicale in streaming. Presto quindi si potrà condividere e ascoltare musica in streaming con un click: l'icona del servizio potrebbe essere collocata nella parte laterale sinistra del menù di entrata sulla propria pagina Facebook. Una volta cliccata l'icona, si installerà un software all'interno del computer che consentirà di accedere all'offerta musicale senza dover abbandonare la pagina del social network. E gli spammer non hanno perso tempo per diffondere il loro spam su Facebook. Non sarebbe bello se tu avessi un accesso immediato alla tua musica preferita e alle bande musicali? E se questi fossero facilmente disponibili sul tuo sito di social networking? Sono queste le domande che gli esperti di TrendMicro si pongono per descrivere questa nuova truffa su Facebook.


Recentemente sono stati individuati dei messaggi che circolano in chat e post sulle bacheche di Facebook che promuovono una presunta nuova funzionalità di lettore musicale. Di seguito è riportato uno screenshot di messaggi simili che si possono trovare:


Lo script utilizzato in questo spam è rilevato da Trend Micro come JS_FBJACK.B. Analogamente agli altri attacchi spam precedentemente segnalati su Facebook spam, una volta che gli utenti cliccano sul link, vengono reindirizzati a un sito che invita loro ad eseguire diversi passaggi (Javasticking). Il primo dei quali è quello di copiare un particolare frammento di codice nella loro barra degli indirizzi del browser, che ricorda il famoso attacco spam che aveva come oggetto Bin Laden


Una volta fatto, lo script maligno accede all'elenco amici dell'utente Facebook interessato Da questo elenco, crea post bacheca e invia messaggi di chat ai contatti di Facebook. Il messaggio letto: “FaceBook finally added a profile music player! I’ve been wanting one of these forever! [LINK]“ ("Facebook ha aggiunto infine un lettore profilo musicale! Ho sempre voluto uno di questo per sempre!“). Alcuni dei post contengono i seguenti link:
  • http://{BLOCCATO}ures.webs.com/profilemusicplayer.htm
  • http://{BLOCCATO}okfeatures.webs.com
  • http://{BLOCCATO}ures7.webs.com/aboutme.htm
  • http://{BLOCCATO}cplayer.webs.com
  • http://{BLOCCATO}ilemusic.webs.com
Tutti i link di cui sopra attualmente reindirizzano ad un singolo URL, un sito truffa che racconta agli utenti interessati di aver vinto un premio certo. Il sito poi chiede loro di fornire informazioni personali.


Gli spammer sfruttano la debolezza dei browser web e la curiosità dell'utente chiedendo alle persone di copiare e incollare il codice maligno nella barra degli indirizzi, facendo intraprendere al profilo azioni a nome di quelle persone, compresa la pubblicazione di aggiornamenti di stato con link fasullo e l'invio di messaggi di spam a tutti gli amici. Facebook ha lavorato per migliorare i propri sistemi in grado di rilevare e bloccare questi tipi di attacchi, come pure educare la gente su ciò che sta causando l'invio di spam dal loro account, ma ancora non è stato possibile bloccare queste azioni. Dunque tocca all'utente non cadere in queste trappole di social engineering (ingegneria sociale). Non utilizzate codici JavaScript loggati su Facebook e prestate attenzione ai link inviati dai vostri amici.

Spam: attenzione alle URL shortening utilizzate da servizi fasulli


MessageLabs Intelligence ha pubblicato un rapporto sulla sicurezza in cui evidenzia una nuova tecnica di spam che già nell'ultimo mese ha contribuito a far salire questo fenomeno del 2,9 percento. I servizi di abbreviazione URL che permettono lunghi e ingombranti link o URL di essere convertiti in altri URL brevi hanno avuto una crescita in popolarità con l'avvento dei servizi di social media e micro-blogging (Facebook e Twitter), dove la lunghezza dello status e gli aggiornamenti sono limitati. Purtroppo, questi servizi sono molto utili agli spammer perchè per natura sono relativamente anonimi e facili da automatizzare, il che li rende semplici da diffondere per ogni abuso. Nel 2010, MessageLabs Intelligence ha pubblicato la sua previsione di sicurezza per il 2011, che comprendeva la probabilità di attacchi più sofisticati che utilizzano i servizi di URL accorciati da imprese criminali. Ciò per acquisire il controllo di un servizio di accorciamento URL legittimo o per creare da uno di questi gruppi un servizio che appare legittimo, operando in modo lecito, prima di essere rivolto ad uso malicious. Questo mese, MessageLabs Intelligence ha avuto per la prima volta prove di spammer che attuano il loro falso servizio per accorciare le URL. I link accorciati creati in questi falsi siti per accorciare le URL non sono inclusi direttamente in messaggi di spam, invece, le email spam contengono URL abbreviati creati su siti legittimi di accorciamento URL. Piuttosto che condurre direttamente al sito Web finale dello spammer, questi link fanno riferimento ad un URL accorciato sul falso sito Web, che a sua volta reindirizza al sito Web finale dello spammer. In breve, quello che è stato architettato è un complesso sistema a matrioska che al momento sembra mettere in difficoltà anche i filtri antispam più efficienti. Questo processo è mostrato in figura, qui di seguito.


La ricerca di MessageLabs Intelligence ha individuato vari e simili siti Web falsi per accorciare le URL associati agli spammer stessi, ognuno dei quali si comporta nello stesso modo. Tutti i nomi a dominio dei siti in uso sono .RU (russo), e molti sono ospitati in Russia e Ucraina. Per rendere le cose più interessanti, i domini sono stati registrati diversi mesi prima di essere utilizzati, come un sistema potenziale per eludere il rilevamento da parte dei servizi per accorciare le URL in quanto l'età del dominio può essere utilizzata come un indicatore di legittimità che rende più difficile per i servizi di abbreviazione genuini identificare potenziali abusi. Il team di MessageLabs Intelligence ha tenuto sotto controllo come gli spammer abusino dei servizi per accorciare le URL per diversi anni, e hanno osservato che gli spammer utilizzando una vasta gamma di questi servizi, spesso creando migliaia di link in un breve periodo di tempo su un singolo sito. Utilizzando il metodo di cui sopra per stabilizzare un proprio sito Web, gli spammer inoltre creano spesso elaborazioni "a catena" in cui uno delle URL breve punti ad un altro URL di un sito diverso per accorciare l'URL. Questo a volte è ripetuto più di dieci volte prima di arrivare al sito dello spammer. La figura sotto, mostra l'andamento nel tempo di affidamento dei servizi per accorciare le URL utilizzati nelle e-mail spam. A seguito di un aumento alla fine del 2010, l'uso è recentemente diminuito in quanto gli spammer hanno commutato lo spamming attraverso i social media, come riportato sul numero di aprile del MessageLabs Intelligence Report. Tuttavia, nelle ultime settimane, la pratica sembra essere il ritorno alle e-mail spam, contribuendo al recente aumento dei livelli di spam.


Come accennato in precedenza, non ci sono link a qualsiasi pagina in cui un breve URL possa essere creato, e non ci sono dettagli sul servizio. Questa stessa pagina è generata da legittimi Web hosting dal "pannello di controllo" del software. Nonostante questo messaggio, il sito viene utilizzato attivamente come un servizio di accorciamento URL, reindirizzando i visitatori a siti Web di spam. È interessante notare che queste URL accorciate dei siti spammer non vengono utilizzate direttamente nei messaggi di spam. Invece, sono utilizzati come punti intermedi o stepping stones tra (di solito) un collegamento a un servizio pubblico di accorciamento URL, e il sito dello spammer. Inoltre, questi servizi per accorciare le URL non funzionano nello stesso modo di quelli legittimi: qualsiasi ID spam del servizio reindirizza al sito Web di spam stesso. Ciò suggerisce che gli spammer in questa fase stanno utilizzando una tecnica dress-up per dare l'aspetto e la funzionalità di un vero e proprio servizio per accorciare le URL. La possibilità di utilizzare qualsiasi ID apparentemente autentico per reindirizzare lo stesso sito Web significa che non si ha la difficoltà di generare ID genuini e con un basso livello di ri-uso, e ciò può contribuire maggiormente ad eludere i tradizionali filtri anti-spam. “Per evitare illeciti cresce il controllo dei servizi ufficiali di URL shortening e gli spammer stanno quindi sperimentando nuove modalità per fornire questo servizio ed evitare interruzioni e attività di disturbo”- ha commentato Paul Wood, MessageLabs Intelligence Senior Analyst - “Ad ogni modo fino a quando verranno creati nuovi servizi di abbreviazione degli URL, ci aspettiamo che gli spammer continueranno ad utilizzarli e ad abusarne”. Il rapporto completo è disponibile a questo link http://www.messagelabs.com/mlireport/MLI_2011_05_May_FINAL-en.pdf

Foto 1: http://www.flickr.com/
Foto 2 e 3: http://www.messagelabs.com/

sabato 28 maggio 2011

Falso YouTube: spam in caselle email e su bacheche Facebook


Anche il più grande broadcaster di video online YouTube, viene sfruttato dai cybercriminali per spammare il loro prodotti e attaccare gli utenti di Facebook. In queste ore, infatti, molti utenti stanno ricevendo delle false e-mail nelle loro caselle di posta elettronica usate per la registrazione al noto portale di video sharing. Come segnalano gli esperti di MalwareCity, la mail sembra legittima perchè, cosa strana, questa arriva effettivamente allo stesso indirizzo e-mail usato per registrarsi sulla piattaforma ed avverte l'utente sul presunto contenuto illegale del video che egli stesso ha caricato. Ecco come appare la falsa e-mail:


YouTube Administration sent you a message: Illegal video warning

YouTube Administration has sent you a message:

hxxp://www.youtube.com/watch?v=k7aPgfuusqwc&feature=topvideos_entertaiment
You can reply to this message by visiting your inbox

© 2011 YouTube, LLC
901 Cherry Ave, San Bruno, CA 94066

A parte lo stile telegrafico, il che è strano e sufficiente per creare qualche dubbio, dato che si tratta d'una questione così importante come quella invocata dal presunto avviso, ciò che colpisce è che uno dei link che pretendono di portare alla piattaforma di video sharing in realtà indirizza verso un sito Web registrato in Spagna. Qui si riceve un avviso dove ci viene detto che il video non è disponibile.


Per essere sicuri, gli esperti MalwareCity si sono collegati al proprio account YouTube e, come avevano sospettato, non vi era alcun avvertimento o qualsiasi altro messaggio da parte degli amministratori della piattaforma. Cliccando sul link presente nella mail spam e-mail si atterra in realtà su un sito web di prodotti farmaceutici, come potete vedere qui sotto, che, a giudicare dalla bandiera sullo sfondo della foto di intestazione, è probabilmente un fratello del vecchio sito canadese di farmacia che presumibilmente vende ogni sorta di pillole per il miglioramento delle prestazioni sessuali maschili.


Inoltre, gli esperti di Badwarebusters segnalano la presenza di falsi siti che ripropongono la grafica di YouTube e che si propagano attraverso dei link malevoli su Facebook. Attraverso la tecnica del likejacking, l'utente ignaro che si imbatte in questi siti, cliccando sulle pagine in questione condividerà un post su Facebook senza la propria conoscenza e autorizzazione.


Il sito si presenta con una sorta di campo CAPTCHA e un pulsante di invio strano che trasparente, ma che in realtà contiene un iFrame. Quando si digita il testo e si premere Invio, ci si iscrive alla pagina e si condivide il testo sulla bacheca di Facebook. Ciò non accadrà quando non siete collegati in su Facebook.


I siti individuati sono:

hxxp://humblenews1.net/?khdfjsf
hxxp://huntable1news.net/?r1613195
hxxp://newsfornow1.net/?r40044785&fb_comment_id=fbc_10150201385817410_16752382_10150201386127410
hxxp://nbcnews4.net/?r12723309&fb_comment_id=fbc_10150188019898040_16935903_10150188020328040

Con il termine di likejacking si intende una tecnica fraudolenta per dirottare gli utenti da un sito ad un altro tramite falsi link alla scopo di riuscire ad impossessarsi delle credenziali di accesso. Se si clicca pensando di visualizzare il video incriminato si compie il primo passo verso la truffa e soprattutto si favorisce la sua diffusione. Una volta cliccato infatti, viene fatto un like automatico e condiviso il link sulla bacheca. Anche se quindi non andrete avanti e non comprometterete il vostro account avrete indotto magari qualche vostro contatto a cliccare anche lui sul finto video. Prestate dunque attenzione alla mail che potreste ricevere in posta e ai link inviati dai vostri amici sulle bacheche di Facebook.

venerdì 27 maggio 2011

Grave bug in Internet Explorer mette a rischio gli utenti di Facebook


Una vulnerabilità zero-day che interessa tutte le versioni di Internet Explorer consente agli aggressori di eseguire un attacco di tipo clickjacking, al fine di rubare i cookie di sessione. L'attacco, soprannominato cookiejacking, è stato comunicato la scorsa settimana dal ricercatore di sicurezza indipendente italiano Rosario Valotta alla conferenza Hack in the Box 2011 ad Amsterdam e ulteriori informazioni sono state pubblicate sul suo blog Lunedi.

Per la dimostrazione, Valotta ha sottratto le credenziali di accesso a Facebook, Gmail e Twitter. Gli hacker possono sfruttare la falla per accedere a un file di dati memorizzati all'interno del browser conosciuto come "cookie", che contiene il nome utente e la password di un account web, Valotta ha detto via e-mail a Reuters. "Qualsiasi sito web. Qualsiasi cookie. Il limite è solo la vostra immaginazione", scrive sul blog.

Non è semplice tirare fuori l'attacco e combina diverse tecniche tra cui social engineering, però, se fatto correttamente può risultare molto efficace. La tecnica, chiamata "cookiejacking", sfrutta un bug nella gestione dei cookie da parte del browser Microsoft. La vulnerabilità interessa tutte le versioni di IE, tra cui Internet Explorer 9, su ogni versione del sistema operativo Windows.

Per sfruttare la falla, l'hacker deve convincere la vittima a trascinare un oggetto attraverso lo schermo del PC prima che il cookie possa essere dirottato. Ciò appare come un compito difficile, ma Valotta ha detto che è in grado di farlo abbastanza facilmente. Ha costruito un puzzle che ha messo su Facebook in cui viene chiesto agli utenti di "spogliare" la foto di una donna attraente.



Pur trattandosi di un mero esperimento, Valotta ha rivelato che "in meno di tre giorni, i suoi server hanno ricevuto il contenuto di ben 80 cookie su un totale complessivo di 150 amici raccolti sul social network". Il bug del browser IE consiste nel caricamento di un cookie, se il file corrispondente viene servito come src di un iframe.

Poiché il percorso del cookie dipende dal nome dell'utente di Windows, l'utente malintenzionato deve determinare questo valore. Valotta descrive un metodo basato sul Web che inganna il browser a rivelare il nome della vittima. La versione del sistema operativo deve essere anche determinata, perché i cookie vengono memorizzati in posizioni diverse sui diversi sistemi Windows.

Questo può essere fatto analizzando l'oggetto navigator.userAgent. Tuttavia, il caricamento di un cookie, che è sostanzialmente un file di testo, all'interno di un iframe non consente al malintenzionato di leggerlo in realtà, a causa delle restrizioni costruite nel browser. Per bypassare questo, l'attaccante ha la necessità di ingannare la vittima per farsi consegnare il contenuto dei cookie.



Ciò implica la selezione del testo e incollarlo all'interno di un contenitore attaccante controllato (drag & drop). Ovviamente questo sarebbe molto sospetto, e gli attaccanti hanno bisogno di utilizzare tecniche di clickjacking per nascondere ciò che sta accadendo. In un altro esempio Valotta, ha nascosto le azioni furtive con un semplice gioco in cui l'utente deve trascinare una palla attraverso un cerchio di basket.

Poiché tutte le versioni di Internet Explorer su tutte le versioni di Windows sono colpite, Valotta avverte che il pool di potenziali vittime è enorme. Inoltre, non ci sono molte difese contro le tecniche di clickjacking in IE. Microsoft ha risposto dicendo che, a causa del livello di interazione, non si tratta di un problema ad alto rischio.

"Dato il livello di intervento da parte dell'utente, questo problema non è quello che consideriamo ad alto rischio nel modo in cui il codice remoto potrebbe essere eventualmente eseguito dagli utenti," ha detto Jerry Bryant, manager del gruppo Microsoft Security Response Center (MSRC).

"Al fine di essere eventualmente colpito, un utente deve visitare un sito Web dannoso ed essere convinto a fare clic e trascinare gli elementi all'interno della pagina in modo che l'attaccante possa indirizzare un cookie specifico da un sito Web in cui l'utente ha effettuato precedentemente l'accesso".  Nonostante queste parole rassicuranti, è sempre meglio evitare di accettare richieste inviate dagli amici relative a giochi o applicazioni sospette e non usare Internet Explorer. L'azienda conta di risolvere il problema tra giugno e agosto.

Likejacking: iscrizioni gonfiate alla pagina Facebook di Letizia Moratti


Si chiama likejacking letteralmente ‘furto dei like’ la tecnica che secondo diversi blogger è servita per aumentare i fan della pagina Facebook di Letizia Moratti. Ma il suo comitato elettorale “si dissocia da una campagna web scorretta”. In pratica il likejacking consiste nell’inserire iFrame nascosto in alcune pagine web per cui, se qualcuno le consulta tenendo aperta la propria pagina Facebook e vi clicca, automaticamente si ritrova fra i fan di una determinata pagina. 


E dopo l’ingenuo tranello dell’inesistente comune di “Sucate” in cui sono caduti i collaboratori del sindaco uscente di Milano Letizia Moratti, in attesa dei risultati del ballottaggio con il candidato dell’esponente del PD Giuliano Pisapia, adesso è la volta della sua pagina Facebook. Secondo quanto rilevato, uno script, secondo la consolidata tecnica del likejacking, gonfia il numero di fan della pagina Facebook della Moratti, senza che gli utenti coinvolti abbiano dato il minimo assenso per essere aggiunti alla lista di sostenitori della candidata.


Il funzionamento dello script si basa su alcuni siti appositamente realizzati e video e altri contenuti che, una volta visitati da chi vi naviga, attivano un meccanismo che associa l’account dell’utente al gruppo di fan di Letizia Moratti, ovviamente senza che il soggetto coinvolto dia il proprio assenso o sia informato su quanto avvenuto. Il funzionamento, smascherato dal sito Byoblu.com, è piuttosto semplice quanto subdolo. Infatti, basta approdare in alcuni siti a base video, cliccare casualmente sul falso videoplayer per trovarsi sostenitore involontario del candidato alla poltrona del capoluogo lombardo.


Si tratta chiaramente di una pratica scorretta, volta a far aumentare a dismisura il numero di quanti sostengono l’attuale prima cittadina di Milano, ma che è stata smascherata da alcuni attenti osservatori, anche perché lo script che invia i dati al profilo Facebook di Moratti non è sofisticato ed è stato facile risalire al suo scopo guardando il codice sorgente delle pagine dei siti Web utilizzati per l’occasione (nel caso preso in esame si trattava d'una pagina calcistica). Una breve indagine svolta sempre dallo stesso sito, ha mostrato anche come sia impossibile risalire al proprietario del portale che nasconde la fastidiosissima truffa, in quanto l’identità di colui che ha registrato il dominio è coperta dall’anonimato della società che ne ha effettuato le registrazioni.


“Stiamo verificando le vostre segnalazioni sulle modalità di acquisizione dei Fan con i nostri partner” ha annunciato il sindaco uscente in serata su Twitter, dove in seguito è apparsa la scritta con cui il comitato si è dissociato da una campagna “scorretta”. “Relativamente alle segnalazioni apparse su numerosi siti web in merito a presunte acquisizioni di fan in modalità poco chiara - ha precisato un comunicato - il comitato elettorale Letizia Moratti per Milano si dissocia e nega ogni coinvolgimento. Le operazioni di pubblicità online sono sempre state condotte secondo le norme e le modalità prescritte da Facebook affidando l’incarico ad una primaria società di settore”. 

Secondo il comitato, “la correttezza del comportamento di chi ha realizzato la campagna è dimostrabile in ogni momento sulla base della documentazione e della rendicontazione del lavoro svolto”. Da alcune verifiche fatte online, risulterebbe un collegamento tra Fatti-Fantastici.info e la vendita di “amici” su Facebook. Attraverso un'operazione reverse whois si può scoprire che Fatti-Fantastici.Info è ospitato sullo stesso server di FbAdvertising.net, agenzia italiana che vende pacchetti di amici su Facebook (ad esempio, 50 mila per la cifra di 7500 euro).



Il proprietario dell’indirizzo IP in questione, ha però spiegato a Sky.it che i siti da cui è partito il likejacking per la Moratti non sono di sua proprietà, ma “di alcuni ragazzi romani a cui avevo offerto l’hosting sul mio server”. Gargiulo ha aggiunto di aver rimosso questi domini subito dopo aver scoperto l’operazione dei falsi amici verso la pagina di Letizia Moratti. I “ragazzi romani” in questione sarebbero - secondo il proprietario - “specializzati in tecniche di acquisizione dei fan anche con tecniche non molto etiche”. 

FbAdvertising, da parte sua, afferma di non fare “uso di strategie truffaldine come pagine false, account fake o likebaiting (pagine che promettono chissà quale rivelazione in cambio dell'iscrizione)”. Tuttavia, lo script presente su Fatti-Fantastici.info che permette di diventare amico della Moratti, sarebbe secondo alcuni riconducibile ad un programmatore, che a sua volta si definisce Ceo di FbAdvertising.net. 

Il proprietario dell'indirizzo IP ha confermato di essere partner del programmatore, ma esclude un suo coinvolgimento nella gestione del sito Fatti-Fantastici.info. Il consiglio è quello di prestare attenzione quando si naviga su siti esterni e verificare eventuali iscrizioni a pagine sconosciute, collegandosi alla propria pagina Interessi e preferenze di Facebook. Inoltre assicurarsi di fare il logout ogni volta che si esce dal proprio profilo Facebook. Foto 1: Il Sole 24 ore

giovedì 26 maggio 2011

Falso avviso email di accesso non autorizzato all'account Facebook


Qualche giorno fà i ricercatori dei TrendLabs hanno riferito di un attacco che sembra essere mirato e che coinvolge i messaggi email inviati tramite un servizio di Webmail. Con ulteriori indagini, i TrendLabs sono stati in grado di confermare che questo attacco sfrutta una precedente vulnerabilità in Hotmail, adesso patchata da Microsoft.

Trend Micro rileva i messaggi di posta elettronica dannosi come HTML_AGENT.SMJ. Il suddetto attacco richiede semplicemente all'utente preso di mira di aprire il messaggio e-mail appositamente predisposto, che esegue automaticamente lo script incorporato. Questo porta poi al furto di informazioni critiche, in particolare i messaggi e-mail e informazioni sui contatti personali dell'utente interessato. I messaggi di posta elettronica rubati possono contenere informazioni riservate che i criminali informatici possono usare per le varie malicious routine. Lo script si connette all'indirizzo:

http://www{BLOCCATO}eofpublic.com/Microsoft.MSN.hotmail/mail/rdm/rdm.asp?a={nome user account}{numero} La natura di tale URL suggerisce fortemente che l'attacco è mirato. L'URL contiene due variabili {nome account}, che è l'ID di destinazione dell'utente Hotmail, e numero {}, che è un numero predefinito impostato dall'utente malintenzionato. Il numero, che sembra determinare il payload maligno, verrà eseguito per il furto di informazioni di routine che vengono eseguite solo quando i numeri sono determinati nel campo del numero {}. 

L'URL porta ad un altro script rilevato da Trend Micro come JS_AGENT.SMJ. Lo script attiva una richiesta che viene inviata al server di Hotmail. La suddetta richiesta invia a tutti gli utenti dei messaggi e-mail interessati ad un certo indirizzo di posta elettronica. L'inoltro dei messaggi di posta elettronica, però, funziona solo durante la sessione in cui lo script è stato eseguito e si ferma una volta che l'utente si disconnette. L'attacco sfrutta uno script o un meccanismo di filtraggio bug CSS in Hotmail (CVE-2011-1252). Microsoft ha già preso provvedimenti e ha aggiornato Hotmail per risolvere il suddetto bug.

La vicenda è iniziata quando uno dei ricercatori di TrendLabs a Taiwan ha ricevuto un messaggio di posta elettronica che, a differenza di altri attacchi tramite e-mail che richiedono agli utenti di aprire il messaggio e fare clic su un link incorporato o di scaricare ed eseguire un allegato, l'esecuzione di questo attacco richiede soltanto agli utenti di visualizzare in anteprima il messaggio nei loro browser. Di seguito è riportato uno screenshot della pagina della casella di posta elettronica:


Gentile utente Facebook,

Il tuo account Facebook è accessibile da un computer o un dispositivo o da una posizione che non avete mai utilizzato prima. Per proteggere la sicurezza del tuo account, prima di confermare che il tuo account non è stato violato, abbiamo temporaneamente bloccato l'account.

Hai mai effettuato l'accesso a Facebook da altro luogo?

Se questo non è il tuo nome, si prega di utilizzare il vostro personal computer per effettuare il login su Facebook e seguire le istruzioni per gestire le informazioni del tuo account.

Se questo non è il tuo account, non preoccupatevi. Il relogin può portare nuovamente al proprio account.

Per ulteriori informazioni, visitare il nostro Centro assistenza qui:

[LINK]

Grazie,
Facebook Security Team

L'anteprima del messaggio e-mail viene richiesto di scaricare uno script da un URL remoto. Lo script viene quindi iniettato nella pagina per avviare il furto di informazioni. I dati rubati includono i messaggi di posta elettronica e le informazioni di contatto. Ancora più importante, però, lo script consente anche l'inoltro di email su account utenti interessati, che invia tutti i loro messaggi a un indirizzo specifico. Il messaggio e-mail che sembra essere stato appositamente predisposto per beneficiarne, in quanto utilizza ogni ID utente Hotmail ID nello script dannoso che essa incorpora. Successivamente vengono scaricati anche l'uso specifico dell'ID Hotmail e un numero identificato da un aggressore. La modifica del numero può cambiare il carico utile. 

"I dipendenti che controllano i loro account di posta elettronica personali sul posto di lavoro e che sono rimaste vittime danno all'aggressore l'accesso alle informazioni sensibili che possono essere riconducibili alla loro azienda, compresi i contatti e messaggi riservati. Le aziende dovrebbero prendere in seria considerazione i rischi che portano questi attacchi e simili, tanto più che solo l'anteprima di messaggi di posta elettronica già attiva l'esecuzione dello script malizioso", spiega Trend Micro sul suo blog. 

Anche se la falla è stata tappata,   vi consigliamo di prestare attenzione quando aprite le caselle di posta elettronica e ricevete messaggi da sedicenti mittenti Facebook che sfruttano il sistema anti-phishing di Facebook per comunicare presunti accessi non autorizzati. I ricercatori dei TrendLabs monitorano da giorni  l'attacco malware che mette in luce il rischio, spesso ignorato e sottovalutato di consentire ai dipendenti di controllare i loro account di posta personale sul lavoro.

mercoledì 25 maggio 2011

Falso aggiornamento Microsoft via e-mail scarica malware sul computer


Se avete recentemente ricevuto un email da Microsoft, sostenendo che è necessario un aggiornamento di sicurezza, attenzione, questa non è proveniente da Microsoft, ma piuttosto è un tentativo di spam per ottenere il download di malware. A segnalare il nuovo tentativo di scam è la società di sicurezza CISCO. Queste e-mail inviate inizialmente in francese, possono essere visualizzati in diverse lingue. Il nome del file per questo particolare malware è SECURITY_FIX_0231.exe. Già, i produttori di antivirus si sono attivati per fornire aggiornamenti per combattere questa minaccia internet più recente. Il messaggio di informazioni che ricevete in una e-mail, secondo CISCO , potrebbe essere simile a questo:



Oggetto: Aggiornamento della protezione critici: URGENTE

Corpo del messaggio:

Cari Clienti Microsoft,
Si prega di notare che la società Microsoft ha recentemente rilasciato un aggiornamento della protezione per Microsoft Windows OS.
L'Aggiornamento della protezione è quello per impedire a utenti malintenzionati di avere accesso ai file del computer.
L'aggiornamento si applica alle seguenti versioni di sistema operativo:
Microsoft Windows 98, Microsoft Windows 2000, XP di Microsoft, Microsoft Windows 7.
Si prega di notare, che il presente aggiornamento si applica a priorità alta nella categoria aggiornamenti. Al fine di proteggere il computer dalle minacce alla sicurezza e problemi di prestazioni, si consiglia vivamente di installare questo aggiornamento.
Poiché la distribuzione pubblica di questo aggiornamento tramite il sito ufficiale avrebbe luogo alla creazione di un efficiente software dannoso, abbiamo preso la decisione di rilasciare questo aggiornamento per la protezione via e-mail. Al fine di avviare l'aggiornamento, attenersi alla seguente procedura:
1. Scaricare l'aggiornamento utilizzando il seguente link:
http://two******.ca/newsletter/users/microsoft.ca/update/SECURITY_FIX_0231.exe
2. Fare doppio clic su SECURITY_FIX_0293.exe per avviare l'installazione.
Questo è un messaggio automatico prodotto dalla Microsoft Canada Co., preghiamo di non rispondere

Ed ecco i messaggi di spam in altre lingue:

Subject: URGENT: Critical Security Update

Message Body:

Dear Microsoft Customer,
Please notice that Microsoft company has recently issued a Security Update for Microsoft Windows OS.
The Security Update is to prevent malicious users from getting access to your computer files.
The update applies to the following OS versions:
Microsoft Windows 98, Microsoft Windows 2000, Microsoft XP, Microsoft Windows 7.
Please notice, that present update applies to high-priority updates category. In order to help protect
your computer against security threats and performance problems, we strongly recommend you to install
this update.
Since public disitribution of this Update throught the official website would have result in efficient
creation of a malicious software, we made a decision to issue this security update via e-mail.
In order to start the update, follow these steps:
1. Download the update using the following link:
http://two******.ca/newsletter/users/microsoft.ca/update/SECURITY_FIX_0231.exe
2. Double-click on SECURITY_FIX_0293.exe to start the installation.
This is an Automated Message produced by Microsoft Canada Co., Please Do Not Reply

Cher client Microsoft,

La socit de Microsoft a rcemment publi une mise jour de scurit pour Microsoft Windows OS.
Cette mise jour a pour bt d'empcher les utilisateurs malveillants d'obtenir l'accs vos fichiers informatiques.
La mise jour s'applique aux versions suivantes d'OS:
Microsoft Windows 98, Microsoft Windows 2000, Microsoft Windows 2003, Microsoft XP, Microsoft Windows 7.
Veuillez notez que la mise jour actuelle s'applique aux mises jour de la catgorie prioritaires.
Afin de protgez votre ordinateur contre des menaces et les problmes de performance et de scurit,
nous vous recommandons vivement d'installez la mise jour le plus rapidement possible.
Puisque la disitribution public de cette mise jour sur le site Web officiel de Microsoft aurait eu comme
rsultat la cration efficace d'un logiciel malveillant, nous avons pris une dcision de publier cette mise jour
de scurit via courriel.

Pour procder l'installation de la mise jour:
1. Tlchargez le fichier d'installation ici:
hxxp://two******.ca/newsletter/users/microsoft.ca/update/SECURITY_FIX_0231.exe
2. Double-cliquez sur SECURITY_FIX_0293.exe pour dbuter l'installation.

Ceci est un message automatis produit par Microsoft Canada Co.

Microsoft Canada Co.
1950 Meadowvale Blvd
Mississauga, ON
L5N 8L9 CANADA

Tel: 905-568-0434
Fax: 905-568-1527
Web: www.microsoft.ca

Naturalmente se ricevete e-mail simili a questa segnalatela come spam. Microsoft non invia aggiornamenti via e-mail. Qualsiasi update avviene attraverso il canale ufficiale o in maniera automatica. Gli esperti del Cisco Security Intelligence Operations esaminano in tempo reale i dati di traffico di posta elettronica che vengono raccolti da oltre 100.000 organizzazioni in tutto il mondo. Questi dati contribuiscono a fornire una vasta gamma di informazioni e di analisi delle minacce alla sicurezza globale delle tendenze e-mail. Cisco continua a seguire questa minaccia e si adattano automaticamente IronPort Systems per proteggere i clienti. Tale relazione verrà aggiornata se ci saranno variazioni significative o se il rischio per gli utenti finali aumenta.

martedì 24 maggio 2011

Javasticking: "Quante volte viene visto il profilo", truffa su Facebook


Dopo la truffa segnalata nelle scorse ore, una nuova ondata di messaggi spam sulle bacheche degli utenti di Facebook sono stati individuati da Protezione Account. Anche in questo caso la truffa (ancora attiva) promette, a suo dire, di mostrare i visitatori del proprio profilo Facebook. Per aumentarne la credibiltà, si sottolinea nel messaggio di spam che si tratta d'una versione "aggiornata e corretta".  

Come abbiamo già ripetuto in diverse occasioni, sono molte le applicazioni che permettono di vedere chi vi sta seguendo sul social network (o solo in generale controllando il vostro profilo). Ma queste applicazioni compilano i dati in base al modo di interagire con il vostro profilo da parte di amici, per scoprire chi sono i vostri più grandi fan.

Ma nessuna sarà in grado di dire quante volte viene visitato il vostro profilo, come invece promette questa truffa. I messaggi recitano testualmente: "At last they updated the Profile Viewer to a new working Version. LOL i thought it was a scum. I can now see a list of my Profile viewers any time i want. Awesome ^_^ Who is checking on me? [LINK] You meet people on facebook everyday but do you know if they are trustworthy?You know adding them gives them access to your Profile! Check how many times stalks your profile here!", che tradotto:

"Finalmente hanno aggiornato il Visualizzatore del profilo a una nuova versione di lavoro. LOL ho pensato che fosse una feccia. Ora posso vedere un elenco dei visualizzatori del mio profilo quando voglio. Spaventoso ^ _ ^ Chi mi sta controllando? [LINK] Tutti i giorni si incontrano persone su facebook ma non sai se sono affidabili? Lo sai aggiungendoli dando loro accesso al tuo profilo! Controlla quante volte seguono il tuo profilo qui!"


Se si fa clic sul link si viene portati ad una pagina web esterna al social network che effettua immediatamente un reindirizzamento alla ormai famosa pagina di Javasticking, dove si viene indotti a copiare e incollare un codice JavaScript nella barra degli indirizzi del vostro browser.

Il codice che l’utente ignaro incolla nella barra degli indirizzi è un JavaScript che richiama un secondo file JavaScript, presente sul sito "esca". Questo secondo file passa in rassegna tutti i contatti dell’utente inviando loro messaggi post sulle bacheche, compresi i vostri amici online in chat.


Facebook non fornisce alcuna funzionalità che consenta di monitorare chi visualizza il vostro profilo, o parti di esso, come le foto. Le applicazioni di sviluppatori esterni non possono fornire questa funzionalità, ne tantomeno dei codici JavaScript. Le applicazioni che sostengono di offrire questa possibilità verranno rimosse da Facebook per aver violato le sue politiche.

Inoltre, utilizzando tali metodi, si verrà estromessi dal sito attraverso il nuovo sistema antispam di Facebook, che è basato sul rilevamento di numerose azioni del profilo in un breve lasso di tempo. Si verrà dunque informati di tale attività maligna sul proprio profilo ed invitati a condividere un post che descrive l'azione e rimanda sulla pagina informativa del Facebook Help Center dedicata alle informazioni di base su come proteggere il proprio account.

Gli spammer sfruttano la debolezza dei browser web chiedendo alle persone di copiare e incollare il codice maligno nella barra degli indirizzi, facendo intraprendere al profilo azioni a nome di quelle persone, compresa la pubblicazione di aggiornamenti di stato con link fasullo e l'invio di messaggi di spam a tutti gli amici.

Facebook ha lavorato per migliorare i propri sistemi in grado di rilevare e bloccare questi tipi di attacchi, come pure educare la gente su ciò che sta causando l'invio di spam  dal loro account. Non utilizzate dunque codici JavaScript loggati su Facebook e rimuovete il post sulla vostra bacheca cliccando sulla X accanto al post.

lunedì 23 maggio 2011

Account LinkedIn a rischio, scoperto grave bug nella gestione cookie



Il sito di networking professionale LinkedIn ha delle falle di sicurezza che rende gli account degli utenti vulnerabili agli attacchi di hacker, i quali potrebbero accedervi senza nemmeno aver bisogno di password, secondo un ricercatore di sicurezza che ha identificato il problema. LinkedIn, fondato nel dicembre 2002 e avviato nel maggio 2003, è utilizzato principalmente per networking professionale.

A marzo 2011, LinkedIn relaziona più di 100 milioni di utenti registrati, che coprono più di 200 paesi e territori in tutto il mondo. La notizia della vulnerabilità è emersa durante il fine settimana, solo pochi giorni dopo LinkedIn Corp è andato in offerta pubblica la scorsa settimana con il debutto commerciale che ha visto il valore delle sue azioni più del doppio, che evoca i ricordi del boom di investimenti dot.com della fine degli anni 1990. 

Rishi Narang - un ricercatore indipendente di sicurezza Internet con sede vicino a New Delhi, in India, che ha scoperto la falla di sicurezza - ha detto a Reuters Domenica che il problema è legato al modo in cui LinkedIn gestisce un tipo di file dati comunemente usato e conosciuti come cookie, che includono il JSESSIONID e il LEO_AUTH_TOKEN. 

Dopo che un utente inserisce il nome utente corretto e la password per accedere a un account, il sistema di LinkedIn crea i cookie sul computer dell'utente che servono come chiave per accedere all'account. Molti siti web utilizzano tale cookie, tra i quali Facebook, ma ciò che rende il cookie LinkedIn insolito è che non scade per un anno intero dalla data della sua creazione, ha detto Narang. Il dettaglio della vulnerabilità è descritto in un post sul suo blog di Sabato.


I cookie token di accesso della maggior parte dei siti web commerciali in genere scadono nel giro di 24 ore, o anche prima se un utente effettua il logout dal sito, ha detto Narang. Ci sono alcune eccezioni: i siti bancari spesso disconnettono gli utenti dopo 5 o 10 minuti di inattività. Google offre ai suoi utenti la possibilità di usare i cookies che li tengono connessi per diverse settimane, ma consente all'utente di deciderlo prima. La lunga durata del cookie LinkedIn significa che chiunque si impossessa del file può caricarlo su un PC e accedere facilmente all'account originale dell'utente per almeno un anno.



La società ha rilasciato una dichiarazione dicendo che essa sta già effettuando la procedura per garantire gli account dei suoi clienti. "LinkedIn prende la privacy e la sicurezza dei nostri iscritti seriamente", dice la nota. "Sia che siate su LinkedIn o qualsiasi altro sito, è sempre una buona idea scegliere reti WiFi o reti VPN (reti private virtuali) criptate o di fiduicia, quando possibile". La società ha detto che attualmente supporta SSL, o Secure Sockets Layer, tecnologia per la crittografia di alcuni dati "sensibili", tra cui gli accessi agli account. Ma quei token cookie di accesso non sono ancora codificati con SSL.


Ciò rende possibile per gli hacker rubare i cookie utilizzando strumenti ampiamente disponibili per sniffare il traffico Internet, ha continuato Narang. Se si è in una rete di casa o aziendale e qualcuno raccoglie i cookie di traffico o usa Firesheep il gico è fatto. E, anche se si cambia la password e tutte le impostazioni, ancora il vecchio cookie è valido e dunque concede all'attaccante un accesso al vostro account. LinkedIn ha detto nella sua dichiarazione che si sta preparando ad offrire opt-in il supporto SSL per le altre parti del sito, una opzione che avrebbe coperto la crittografia dei cookie. 

L'azienda ha detto che si aspetta sarà disponibile "nei prossimi mesi". Ma i funzionari LinkedIn hanno rifiutato di rispondere alla critica di Narang sull'uso della società di un cookie con scadenza di un anno. Narang ha detto che il problema è particolarmente grave perché gli utenti di LinkedIn gli utenti non sono consapevoli del problema e non hanno idea che essi debbano proteggere tali cookie. Il ricercatore aa affermato, inoltre, di aver trovato quattro cookie con token di accesso LinkedIn validi che erano stati caricato su un forum per gli sviluppatori LinkedIn dagli utenti che avevano postato delle domande circa il loro uso. Narang ha scaricato quei cookie e ha potuto accedere agli account dei quattro abbonati LinkedIn.

Facebook rinnova interfaccia e strumenti del suo Centro assistenza


Facebook da qualche ora ha reso disponibile il suo nuovo Centro Assistenza, rinnovandone l'interfaccia grafica  per la seconda volta, cercando di suddividere meglio i contenuti e razionalizzando la disposizione dei collegamenti. Adesso il sistema è molto più chiaro e risulta  molto più rapido trovare le informazioni e l’assistenza di cui si necessità. Per accedere al Centro assistenza (Help center) dovete andare, loggati su Facebook, con il mouse sulla barra blu in alto e cliccare sul collegamento “Account” nell'angolo a destra della stessa barra, apparirà un piccolo menù contestuale a discesa con la voce “Centro assistenza”, cliccate sul link per accedere. Ora la pagina principale del centro di assistenza presenta 5 canali distinti ed è stata introdotta una grande casella di ricerca al centro. Gli argomenti principali che troviamo sono i seguenti:


Sotto la casella di ricerca troviamo i collegamenti per segnalare un bug e per fornire i vostri commenti. I contenuti sono stati inoltre raffinati e migliorati, sono state date risposte a migliaia di domande, sono state chiarite parecchie funzionalità, ma l’impegno dei redattori è quello di cercare di rendere il sistema di help sempre più efficente a dare tutte le risposte necessarie agli utenti. Inoltre l’area discussioni degli utenti consente di condividere problematiche e soluzioni con gli altri utenti così da rendere ancora migliore la risoluzione di eventuali problemi.

Sfoglia gli argomenti del Centro assistenza


Cliccando sulla prima voce del menu della pagina iniziale veniamo rimandati ad una pagina che si presenta come segue


In alto troviamo gli "Argomenti popolari", suddivisi in: ProfiloNotizieFotoMessaggiChatProtezionePrivacy. Nella parte sottostante tre voci principali: "Uso di Facebook", "Gestione dell'account", "Inserzioni e soluzioni aziendali".

Forum Centro assistenza


Cliccando sulla seconda voce del menu della pagina iniziale veniamo rimandati ad una pagina che si presenta come segue


In alto troviamo "Argomenti del forum del Centro assistenza", suddivisi in 24 voci principali:
In basso sono presenti i link alle domande che avete posto ed eventualmente a quelle a cui avete risposto. In base a queste ultime vi verrà attribuito un punteggio:

Le mie domande - Le mie risposte - Il mio punteggio


Domande più frequenti


Cliccando sulla terza voce del menu della pagina iniziale veniamo rimandati ad una pagina che presenta la seguente FAQ:




Giochi e applicazioni


Cliccando sulla quarta voce del menu della pagina iniziale veniamo rimandati ad una pagina che si presenta come segue


Dove troviamo l'elenco delle nostre "Applicazioni di sviluppatori esterni". Se avete autorizzato l'applicazione ad accedere alle vostre informazioni, potete restringere l'accesso dalla pagina Applicazioni che usi. Se desiderate rimuovere completamente l'applicazione dal vostro profilo, potete seguire i passaggi descritti qui. Dopo aver rimosso un'applicazione dal vostro profilo, l'applicazione non potrà più accedere alle vostre informazioni (sempre che voi non concediate l'accesso alle vostre informazioni mediante i profili dei vostri amici con l'impostazione "Informazioni accessibili mediante i tuoi amici"). Per evitare che un'applicazione specifica acceda alle vostre informazioni, seguite i passaggi descritti qui. Ricordate che se desiderate eliminare in modo permanente le informazioni condivise con l'applicazione, dovete contattare direttamente lo sviluppatore seguendo le istruzioni descritte qui.

Centro per la sicurezza

Cliccando sulla quinta voce del menu della pagina iniziale veniamo rimandati alla pagina principale del Centro sicurezza di Facebook, dove troverete informazioni utili per proteggere il vostro Account.


La sicurezza si basa su una conversazione costante tra genitori e figli, insegnanti e studenti, aziende e persone che usano i loro prodotti e servizi. Facebook è dell'avviso che la sicurezza richieda uno sforzo comune da parte di tutti, che può consistere nella segnalazione di comportamenti inappropriati o nella protezione del proprio account e della relativa password. Quando Facebook analizza le segnalazioni di contenuti offensivi, rimuove tutto ciò che viola le Condizioni di Facebook o gli Standard della comunità. Ricordate che le segnalazioni sono confidenziali. Facebook fornisce inoltre degli strumenti per proteggere la vostra privacy, per rimuovere delle persone dai vostri amici o bloccarle, e per aiutarvi a proteggere le vostree informazioni su Facebook e altrove. La sicurezza online è molto simile a quella offline. Sia che voi siate in giro nel mondo reale o su Facebook, è importante tenere sempre a mente alcune precauzioni di sicurezza. Usate le informazioni e i link disponibili nel Centro per la sicurezza di Facebook per scoprire quali sono gli strumenti a vostra disposizione e condividerli con le persone che conoscete.

domenica 22 maggio 2011

Facebook a lavoro per proteggere dal furto dei cookie di sessione


Oltre a spingere per l'HTTPS, Facebook sta lavorando con Google, Yahoo! e Mozilla su una specifica in grado di proteggere i cookie di sessione da furti anche tramite connessioni non crittografate. Chiamata autenticazione di accesso MAC, la specifica è attualmente un progetto Internet Engineering Task Force (IETF) ed è pensato per fornire la verifica di crittografia per alcune porzioni di richieste HTTP. MAC, in questo contesto si riferisce al codice di autenticazione del messaggio, una stringa univoca generata dal client, che consente al server di verificare che la richiesta non sia stata fatta prima. 

Questo impedisce gli attacchi man-in-the-middle che si basano su intercettazioni e riproducono le richieste da e verso il client. "Stiamo lavorando con Yahoo!, Google e Mozilla su questa specifica al fine di dare a tutti i siti web un modo per garantire che le informazioni di sessione non vengano alterati o manomessi", ha detto Facebook in un post dettagliato sul blog degli sviluppatori, dopo le recenti modifiche adottate per garantire maggiore sicurezza sulla sua piattaforma. La società ha chiesto agli sviluppatori di acquisire un certificato SSL e HTTPS per rendere le loro applicazioni compatibili entro il 1 ottobre

Questo annuncio è stato accolto con una certa ostilità da parte degli sviluppatori che non vogliono sostenere costi aggiuntivi connessi con la distribuzione SSL. "Contrariamente ad alcuni commenti che abbiamo sentito, l'acquisizione di un certificato SSL è relativamente poco costoso, e il costo continuo del supporto SSL per la maggior parte delle applicazioni è basso. Quanto prima la vostra applicazione supporterà i protocolli HTTPS e la nostra piattaforma sarà più sicura", ha sottolineato Facebook. Inoltre, gli sviluppatori dovranno anche attuare OAuth 2.0, uno standard di autenticazione che viene fornito con protezione da cross-site request forgery (CSRF). 

Questo sistema permette di ottenere l'access_tokens, che dà alle applicazioni le chiavi di accesso ai profili degli utenti, più sicuro e affidabile. Molte applicazioni legati ai sistemi di autenticazione di Facebook sono stati recentemente trovate a condividere inavvertitamente questi token con inserzionisti pubblicitari e altre terze parti. Infine, gli sviluppatori sono stati invitati a rivedere e ad aggiornare le politiche della piattaforma di Facebook e assicurarsi che le loro applicazioni siano conformi ad esse. 

Essi vietano specificamente la condivisione di UID o Access token con terzi. Oltre alla tecnologia, la Casa Bianca e il National Institute of Standards & Tecnology (NIST) hanno lavorato per costruire una strategia nazionale per costruire il Trusted Identity in Cyberspace. L'obiettivo del National Strategy for Trusted Identities in Cyberspace (NSTIC) è focalizzato sul coinvolgimento del settore per aumentare la sicurezza e la privacy sul web quando si tratta di firma nei siti web. Facebook sta lavorando con il NIST per condividere le migliori pratiche e discutere di come OAuth possa contribuire a questo framework.

sabato 21 maggio 2011

Profile Spy, nuova truffa per scoprire chi visita il vostro profilo su Facebook


Un'altra truffa, segnalata da Sophos, è in corso di diffusione su Facebook ed inganna gli utenti facendo credere di scoprire chi guarda segretamente il vostro profilo sul social network. Sono molte le applicazioni  che permettono di vedere chi vi sta seguendo (o solo in generale controllando il vostro profilo). Ma queste applicazioni compilano i dati in base al modo di interagire con il vostro profilo da parte di amici, per scoprire chi sono i vostri più grandi fan.

Ma nessuna sarà in grado di dire chi guarda il vostro profilo, come invece promette questo metodo spam.  Utilizzando l'immagine di un cartone animato di quello che sembra essere uno scimpanzé che guarda attraverso un binocolo, i messaggi sono inviati da altri utenti di Facebook che sono già caduti nella trappola, facendo clic sul link e seguendo le istruzioni del truffatori.

Il sistema è il già pluricollaudato JavaScript, come abbiamo già visto in questo post. Il testo del post è il seguente: "WICKED! Now you can see who views your facebook profile.. i saw my top profile stalkers and my EX is still creeping my profile every day Checkout your PROFILE stalkers [LINK] Now you can see who stalks your profile daily" (Visto! Ora è possibile vedere chi visualizza il tuo profilo di Facebook .. Ho visto chi segue maggiormente il mio profilo e il mio ex è ancora strisciante sul mio profilo ogni giorno Acquista il tuo PROFILO stalker [LINK] Ora è possibile vedere chi segue tuo profilo giornalmente).


Se si fa clic sul link si viene portati ad una pagina web di terze parti che vi spinge a copiare e incollare un codice JavaScript (Javasticking) nella barra degli indirizzi del vostro browser. Le rivendicazioni della pagina sono quelle che il vostro codice è unico per visualizzare la vostra Top 10 profile spys - ma non è affatto vero. Le persone devono essere consapevoli che non esiste una caratteristica su Facebook che consente di visualizzare il profilo dei visitatori. Pertanto, qualsiasi messaggio o applicazione che afferma il contrario è sicuramente una truffa. Questo è un trucco viene comunemente usato dai truffatori in questo momento.


Se si incolla il codice nella barra degli indirizzi, tipicamente passa il messaggio ad altri utenti di Facebook, inviando un post sulle bacheche - compresi i vostri amici online in chat. Facebook non fornisce alcuna funzionalità che consenta di monitorare chi visualizza il vostro profilo, o parti di esso, come le foto. Le applicazioni di sviluppatori esterni non possono fornire questa funzionalità, ne tantomeno dei codici JavaScript. Le applicazioni che sostengono di offrire questa possibilità verranno rimosse da Facebook per aver violato le sue politiche.

Inoltre, utilizzando tali metodi, si verrà estromessi dal sito per attività di spam. Decine di gruppi e pagine su Facebook con migliaia e migliaia di utenti sono stati creati al riguardo, promettendovi qualcosa che ovviamente non è possibile. Come leggiamo sul Facebook Help Center, Facebook attualmente non fornisce un'applicazione che permette agli utenti di tracciare le visualizzazioni del profilo o le statistiche sulle visualizzazioni di contenuti utente specifici.

Gli sviluppatori di terzi, tuttavia offrono applicazioni che forniscono questa funzione. Ricordate  che le applicazioni NON possono tracciare le visite del profilo per utenti che accedono al profilo di un'altra persona, Facebook ha reso questa funzione tecnicamente impossibile. Per essere tracciato da un'applicazione, dovete acconsentire in modo specifico che l'applicazione possa tenere traccia delle vostre azioni. Non utilizzate codici JavaScript loggati su Facebook.

venerdì 20 maggio 2011

Vinci iPhone? No, invii spam da profilo Facebook con falsa Applet Java


Una nuova truffa si sta diffondendo in queste ore tra gli utenti italiani di Facebook. La truffa, segnalata da un nostro lettore e analizzata da Protezione Account, a suo dire, permetterebbe l'iscrizione ad un presunto quanto fantomatico concorso per partecipare all'estrazione di un iPhone 4 di Apple, nuovo di zecca. Lo spam arriva da un amico che è caduto nella trappola e si presenta con un messaggio che recita: "per caso ti interessa un iPhone 4 gratis? ;) dai un'occhiata al link qui sotto allora! ci sentiamo :D [LINK]".


Se clicchiamo sul link veniamo rimandati alla scheda di "benvenuto" di una pagina su Facebook, dove leggiamo: "Vinci un nuovissimo iPhone 4! Segui le istruzioni qui in basso. Segui le istruzioni qui in basso per convalidare la tua iscrizione (Solo utenti Italiani)".


Se "confermiamo" la partecipazione ci verrà presentata una finestra di dialogo per eseguire una falsa applet Java


L'applicazione altro non è che un "pacchetto" di comandi che verranno eseguiti a nome vostro su Facebook, utilizzando la tecnica fraudolenta del copia/incolla di codice javascript nella barra degli indirizzi del browser (Javasticking). In questo modo invieremo il messaggio di spam sulla nostra bacheca e a quella degli amici. Fortunatamente, sembra che sia a pieno regime la nuova funzionalità antispam dei profili annunciata da Facebook nei giorni scorsi per bloccare questo nuovo metodo utilizzata dagli spammer. Infatti verremo estromessi dal sito e ci verrà comuinicato che abbiamo inviato spam dal nostro profilo.



Saremo poi invitati da Facebook a condividere l'informazione con tutti i nostri amici, pubblicando un post che avverte gli utenti a prestare attenzione a queste tipologie di truffe. Protezione Account si aspetta che molti saranno gli spammer ad utilizzare questi attacchi, dato che si tratta d'un pacchetto preconfenzionato che opera senza chiedere azioni (come avveniva in precedenza) da parte dell'utente.


Vi raccomandiamo di non eseguire applet java il cui certificato è sconosciuto. Di seguito i dettagli del certificato dell'applicazione in questione


Il consiglio è come sempre quello di non copiare link sulla barra degli indirizzi del browser mentre si è loggati su Facebook, ma soprattutto di prestare attenzione ai link che ricevete sulla vostra bacheca da amici o in chat.  Se siete caduti nella trappola contrassegnate il post come spam cliccando sulla X posta sulla destra al passaggio del mouse ed avvertite i vostri amici.