martedì 6 dicembre 2011

Amico Facebook di chiunque e profilo hackerato con trusted friends


Un ricercatore brasiliano ha dimostrato che è possibile ed anche semplice, diventare "amico" praticamente di chiunque su Facebook in 24 ore o meno. Creare un nuovo profilo clonando il profilo di qualcuno vicino al bersaglio, poi utilizzare il profilo di un amico degli amici del target e alla fine anche lui il bersaglio o se stesso. Anche se l'obiettivo non è accettare di essere amico, sarete ancora in grado di vedere le informazioni disponibili solo per "amici degli amici", probabilmente molto più di quanto sia disponibile pubblicamente. Questo exploit di ingegneria sociale mostra come le informazioni personali siano facilmente accessibili da quegli individui con target specifico e disposti a investire un pò di tempo.

La tecnica è insolita e va completamente contro le condizioni di utilizzo di Facebook, ma questo non ferma chi vuole raggiungere il proprio scopo. Il ricercatore di sicurezza e comportamento online Nelson Neto Novaes ha progettato un esperimento per vedere se poteva avere l'amicizia a una donna che lavora nella sicurezza Web, con l'esperimento che chiama "SecGirl". Il suo obiettivo era quello di essere aggiunto come suo amico entro 24 ore. Lo ha raggiunto in solo 7 ore. Per avvicinarsi a SecGirl, Novaes ha letteralmente clonato il profilo di una persona molto vicino alla donna, il suo manager. Usando questo profilo clonato, ha chiesto l'amicizia di amici di amici del boss. In solo un'ora, sono state accettate 24 su 432 richieste.

La cosa straordinaria è che il 96% delle persone che hanno accettato la richiesta di amicizia avevano già il vero proprietario del profilo nella loro lista di amici. La stessa persona è stata aggiunta alla lista dei loro amici due volte, perché non erano a conoscenza del profilo falso. Nell'ora successiva, il ricercatore ha chiesto l'amicizia degli amici del manager. Da 436 applicazioni, il profilo di falso è stato accettato nuovamente da più di 14 persone, tutti avevano il profilo originale nel proprio elenco dei contatti e hanno aggiunto il clone. In poco più di due ore, il manager ha accettato la richiesta di amicizia del profilo che è stato clonato da Novaes. SecGirl ha aggiunto il profilo clonato del direttore come un amico in ore 7 mezza dall'esperimento.
A quel punto, il profilo aveva accumulato abbastanza amici e amici degli amici che appariva legittimo. SecGirl probabilmente acconsentì alla richiesta di amicizia senza pensare a niente. In questo modo, il profilo clonato ha avuto accesso alle informazioni condivise solo con gli amici di SecGirl. "La gente ha semplicemente ignorato il pericolo nell'aggiungere un contatto senza controllare che sia autentico. Gli utenti devono prestare attenzione a questo tipo di errore. I social network offrono cose incredibili, ma il fallimento, prima di tutto, è umano. La privacy è una questione di responsabilità sociale. Non esiste una soluzione. La soluzione giusta è quella di utilizzare la Rete correttamente e siamo soli in questo compito", ha dichiarato Neto al giornale UOL. Nelson ha detto il suo esperimento fornisce informazioni sufficienti per l'aggressore di prendere realmente l'account Facebook della vittima.

Lo dimostra la potenza dell'ingegneria sociale, che ha come obiettivo una richiesta di amicizia che sembra lecita, ma può provenire da criminali. L'esperimento ha inoltre rivelato che il nuovo ticker ha un grave difetto grave per la privacy su Facebook. Secondo il ricercatore, il recente strumento "Ticker", che visualizza gli aggiornamenti da contatti in tempo reale in alto a destra, mostra ciò che si desidererebbe esporre come prova di infedeltà. E queste informazioni non possono essere escluse. Per dimostrare la sua tesi, Novaes ha creato tre profili fittizi. Due di loro rappresentavano una coppia e il terzo, un amico comune. L'esperimento, riprodotto su video e postato su YouTube, ha dimostrato che la donna nonostante avesse scelto di non mostrare le notifiche di aggiornamento per chiunque, anche il coniuge e l'amico comune avrebbero potuto vederle in tempo reale sul "Ticker".



Nell'esempio, la donna preferisce non mostrare il tizio che ha confermato una richiesta di amicizia dell'ex-fidanzato, ma le informazioni si sono poi rivelate all'amico comune che vede la conferma del "Ticker". Il ricercatore ha contattato gli amministratori del social network, ma non ha ottenuto risposta in ordine al funzionamento del "Ticker". Neto ha detto, inoltre, che è possibile prendere un account valido di Facebook tramite la funzione di recupero password Facebook "Tre amici fidati". Attraverso lo strumento di recupero della password, un hacker può cambiare sia la password che il contatto e-mail per un account. Basta creare 3 falsi profili aggiunti alle amicizie all'account delle vittima. Una volta ottenuta la password probabilmente si può accedere anche alla posta elettronica e altri servizi.


Dopo aver selezionato i 3 account Facebook invierà i codici di sicurezza per recuperare l'account. Basta inserire questi codici e si avranno da Facebook e-mail e password Reset per l'account. L'hacker potrebbe quindi utilizzare l'account hackerato per gli attacchi di social engineering su altri account. "L'avviso richiede all'utente di confermare anche la sua identità attraverso uno dei vari metodi, tra cui la registrazione e la conferma di un numero di cellulare", ha detto un portavoce di Facebook Ars Technica via e-mail. "Se non riescono a rispondere entro un certo periodo di tempo, l'account viene automaticamente disabilitato. Il sistema 'Amico fidato' include garanzie per le quali è bassa la probabilità che vengano scelte amicizie recenti tra quelle dell'account per il recupero della password", ha aggiunto il portavoce.

Nessun commento:

Posta un commento