lunedì 31 ottobre 2011

Sicurezza su Facebook, come difendersi dai furti di profili e pagine


Le tipologie più comuni di truffe su Facebook sono del tipo cross-site scripting, clickjacking, javasticking, truffe sondaggio, e furti di identità. I Cross-site scripting, o auto-XSS, sono mascherati nei messaggi di Facebook del tipo: "Ti ho visto taggato in questo video?". Ed ancora il falso pulsante Dislike Facebook e la reindirizzazione degli utenti a siti web che usano come il copia/ incolla di codice JavaScript maligno nella barra degli indirizzi del proprio browser, o javaScript offuscato che installa il malware nascosto senza la consapevolezza degli utenti. 

Il clickjacking, noto anche come likejacking ha come interfaccia utente la correzione o trucchi che rivelano informazioni riservate agli utenti, che prendono il controllo del proprio PC, inducendoli successivamente a cliccare su siti web con messaggi del tipo: "[Guarda Il video che sta scandalizzando gli USA! Attenzione immagini scioccanti]". Il codice incorporato o gli script diffondono la truffa viralmente attraverso il social network.

Un'altra forma di clickjacking sono le truffe sondaggio che inducono gli utenti a installare un'applicazione da un link spam. Argomenti delle notizie, come ad esempio la truffa video di Osama bin Laden, sono utilizzati per attirare gli utenti di falsi siti di YouTube per completare le indagini, i truffatori e guadagnare commissioni per ogni persona che lo fa. Inoltre, prendendo le indagini la truffa si diffondono viralmente agli amici degli utenti di Facebook. 

Gli intervistati ad un recente sondaggio sui social network effettuato da Sophos non sembrano essere troppo sicuri di sé quando si tratta di Facebook, fino all'81 per cento considera che è il più rischioso tra i generi, rispetto al 60 per cento di un anno fa. Naturalmente Facebook ha più iscritti e dunque per questo motivo è stato probabilmente il più nominato. Twitter e Myspace sono stati nominati come pericolosi dll'8 per cento degli intervistati, mentre solo il 3 per cento ha espresso preoccupazioni circa LinkedIn.

Come difendesi dai furti su Facebook che mettono in pericolo profili, pagine e gruppi di utenti del social network blu. E’ una sfida contro i trucchi messi in opera da utenti che creano pagine di accesso false, landing di recupero password e tentativi di accesso fraudolento continui. Alcuni stratagemmi anche estremamente semplici per riuscire ad impadronirsi di gruppi e pagine sul social network e i rischi crescono.

Uno dei modi più utilizzati dai “ladri di pagine”per impossessarsi dei dati di accesso degli utenti è quello di costruire una pagina d’accesso praticamente identica a quella di Facebook. Gli utenti, ignari inseriscono nome utente e password e nel momento in cui cliccano su “accedi a Facebook” login e password vengono direttamente inviate alla mail del ladro.Fare sempre estremamente attenzione alle pagine da cui si accede, spesso ci si può accorgere della pagina falsa perché a volte realizzata in una lingua non corrispondente alla nostra.

In alcuni casi, è anche semplice individuarle, facendo attenzione ai dettagli, distinguere le piccole differenze con la pagina originale di accesso. Dare sempre uno sguardo all’url in cima. Il sistema di recupero password messo a disposizione da Facebook, potrebbe rivelarsi nella sua duplice veste e tramutarsi da aiuto in pericolo. Numerose pagine e profili, vengono rubati proprio in questo modo, attraverso l’hacking dell’indirizzo mail secondario o conoscendo le password di accesso alla mail della vittima. 

Conservare i dati di accesso della propria mail con parsimonia. La maggior parte dei servizi mail, da Hotmail a Gmail, permettono con estrema facilità il cambio password ed è quindi un’ottima abitudine cambiare le password di accesso alla propria mail con cadenza medio lunga. L’attacco violento “brute forcing”, che tenta di bucare le password degli utenti a tappeto inserendo in continuazione innumerevoli stringhe generate automaticamente fin quando non viene inserita quella giusta.

Questo metodo è uno dei più utilizzati grazie alla continua intromissione sul Web di script che operano automatizzando i tentativi di accesso senza ricominciare da capo. Forzare un account in questo modo richiede molto tempo, in ogni caso, il consiglio per la mail, vale anche in questo caso. In fine, un’attenzione particolare deve essere necessariamente data alle applicazioni. Oggi, sono lo strumento più efficace e soprattutto difficile da gestire perché è l’utente stesso ad autorizzare paradossalmente il furto del proprio profilo. 

Sono delle vere e proprie trappole che trafugano le password allo stesso modo delle pagine di accesso false, con l’unica differenza che si nascondono dietro giochi fasulli e video imperdibili. Il buon senso prima di tutto, mai fidarsi delle apparenze e evitare di incrociare il proprio account professionale con giochi e applicazioni inutili. E’ sempre meglio cambiare ogni mese la propria password e sceglierla abbastanza lunga e “mista” ovvero composta da: numeri, lettere e caratteri speciali. Via: Pmi

1 commento: