sabato 2 luglio 2011

Nuova truffa su Facebook combina tecniche likejacking e javasticking


I truffatori su Facebook stanno combinando tecniche antiche a nuove per diffondere le loro campagne spam sul sito di social networking, tra cui clickjacking e registrando pagine con applicazioni canaglia. Gli spammer marketing di affiliazione sono tornati ai loro vecchi trucchi, dopo un periodo di relativa calma, con le truffe di tipo javasticking, dove bisogna copiare ed incollare un codice javascript su false pagine ospitate in server esterni, avvertono i ricercatori di sicurezza di F-Secure. 

Una nuova truffa si sta diffondendo sulla rete sociale è genera messaggi con scritto: "This girl killed herself after her dad posted a secret of her on her fb wall" ("Questa ragazza si è suicidata dopo che suo padre ha inviato un segreto di lei sulla sua bacheca di fb"). Lo spammer usato per questo modello da due settimane è poi collegato ad una pagina web ospitata presso thedominio.info.


I link sembrano condurre a pagine su apps.facebook.com, tuttavia, sono utilizzati solo come redirector. Quando gli utenti fanno clic sui link in realtà finiscono su siti .Tk creati in particolare per questa campagna. Secondo gli esperti di F-Secure, l'uso di pagine dell'applicazione Facebook aiuta i truffatori in diversi modi. Da un lato, non c'è bisogno di mantenere molte risorse esterne, e dall'altro, tali collegamenti non sono sulla lista nera dei sistemi automatizzati anti-spam di  Facebook, fornendo la massima fiducia

Il sito di social networking ha infatti recentemente stretto una partnership con Web of Trust per bloccare automaticamente gli URL pericolosi e ha già utilizzato altre tecnologie di rilevamento da vari fornitori. F-Secure ha rilevato tre applicazioni finora.

• girl1 - http://apps.facebook.com/storynumb/
• girl2 - http://apps.facebook.com/girlstoryyl/
• girl3 - http://apps.facebook.com/seeingstoey/


Ma non c'è molto da vedere da queste applicazioni. Se l'utente fa clic sul link di Facebook, l'applicazione effettuerà immediatamente il reindirizzamento a url-linkay.tk in cui viene visualizzato questo "video player" (thedominio.info reindirizza ora a url-linkay.tk.). 

Sul sito tk viene visualizzato un pulsante di riproduzione che dovrebbe permettere agli utenti di visualizzare il video story (riservato a pubblico maggiorenne), in realtà fa parte di un attacco di tipo likejacking. Questa parte è un tipico clickjacking che utilizza una cornice trasparente per nascondere il pulsante like plug-in di Facebook. Indipendentemente da quale parte della pagina si clicca su, gli utenti inconsapevolmente esprimono il loro like e condividono la pagina in background.


Essi saranno quindi reindirizzati ad altre pagine ospitate su apps.facebook.com che sono utilizzati per monetizzare, dove viene chiesto agli utenti di partecipare a uno dei vari "sondaggi", prima di consentire loro di vedere il presunto contenuto. 

Sullo sfondo si legge "OMG .. elettrizzante! ... Questo è il post papà" e sotto "lettera di suicidio di Emma". Naturalmente, non esiste un contenuto reale ed è tutto un richiamo per spingere gli utenti a registrarsi alle offerte di marketing di affiliazione che fanno guadagnare commissioni ai truffatori. Inoltre l'applicazione collegata alla truffa, funziona senza che venga installata sul profilo degli utenti.


Se siete caduti vittima di questa truffa, assicurarsi di controllare le iscrizioni alle pagine canaglia e rimuovere tutti i messaggi di spam inviati sula bacheca. In futuro evitare qualsiasi tipo di storia che invita ad effettuare procedure complicate per garantire l'accesso ai contenuti. Per gli utenti di Firefox è possibile installare NoScript

L'estensione NoScript per Firefox fornisce una protezione aggiuntiva per Firefox, Seamonkey e altri browser basati su Mozilla: questa gratuita, open source add-on permette a JavaScript, Java e Flash e altri plugin di essere eseguiti solo da siti affidabili a vostra scelta, e fornisce la più potente protezione anti-XSS (Cross-Site Scripting) disponibile in un browser. 

NoScript è l'unica whitelist basata su approccio preventivo del blocco degli script e impedisce lo sfruttamento di vulnerabilità di sicurezza (note e anche non ancora note). E' possibile attivare JavaScript, Java ed esecuzione plugin da siti fidati con un semplice click sinistro sull'icona NoScript nella barra di stato, oppure utilizzando il menu contestuale.

Nessun commento:

Posta un commento