giovedì 26 aprile 2012

Sei tu nel video? Scam Facebook con falso update YouTube: come rimuovere


Una nuova truffa si sta diffondendo attraverso tag automatici tra gli utenti di Facebook e, come in altre già viste, per la sua diffusione viene utilizzata una falsa estensione del browser (il cosiddetto pluginjcking). In questo caso però, dopo la nostra analisi approfondita, le "consuete" e semplici operazioni di rimozione dell'estensione rogue non sortiscono alcun effetto, con il risultato che molti utenti non riescono a liberarsi dello sgradito "ospite" dal proprio browser Web.

Nello scam si viene informati dagli amici caduti nella truffa della presenza in un video nel quale si è stati taggati. Il testo del post recita testualmente: "omg!! is that you in the background of the video?? hahaha ;-P hehe, check it out at [Short Url] ;-P — con [Nome Cognome] e altre [Numero Random] persone (omg! ci sei tu sullo sfondo del video? hahaha;-P hehe, controlla fuori):


Se clicchiamo sul link si viene rimandati ad una falsa pagina esterna che ripropone perfettamente la grafica di Facebook e dove ci viene richiesto l'aggiornamento dell'applicazione YouTube per poter visualizzare il presunto video.


Inoltre, controllando la barra degli indirizzi un utente "poco esperto" potrebbe essere tratto in inganno, dato che l'Url inizia con www.facebook.[...]


L'applicazione del falso aggiornamento include visualizzazione più agevole del video e supporto per l'accelerazione hardware; miglioramenti nella performance e gestione della memoria; supporto multi-touch e gestione del contento; supporto alla navigazione privata di sicurezza migliorato


Se clicchiamo su un punto qualsiasi dell'immagine verrà avviato il download del plugin malware denominato Gtalk con estensione .crx che potrà accedere a tutti i dati su tutti i siti web, alle schede e alle attività di navigazione.


Dopo averla installata dunque verranno effettuate delle operazioni a nome e per conto dell'utente Facebook che l'ha installata. Inoltre accederà a tutti i nostri dati di navigazione e ovviamente cronologia, ecc. Se l'utente prova a disinstallare con le "normali" procedure l'estensione (ad esempio su Google Chrome), il plug-in rogue impedirà l'apertura della pagina delle Impostazioni delle estensioni.

Per ovviare a questo inconveniente sarà necessario aprire il task manager del browser, andando su Chiave inglese>Strumenti>Task Manager cercare il processo MSN e bloccarlo.


Dopo bisognerà recarsi alla pagina delle estensioni installate sul browser (chrome://settings/extensions) e rimuovere GTalk o MSN. Abbiamo infatti individuato due diverse estensioni rogue che, ovviamente, nulla hanno a che vedere con quelle legittime di Google Gtalk e MSN Microsoft.



L'applet Java tenterà di contattare un computer remoto, aprendo di fatto una pericolosa backdoor sul PC vittima. Dopo aver completato le operazioni chiudere e riavviare il browser. L'estensione rogue è naturalmente funzionante anche su altri browser di navigazione, come Firefox ed Internet Explorer. Rimuovete il post dal vostro profilo ed avvisate i vostri amici. Non installate MAI plugin o applicazioni provenienti da fonti sconosciute.

Quando siete su Facebook controllate sempre l'Url ed attivate per sicurezza il controllo dei tag sul profilo. Installate una suite di siurezza che comprenda antivirus + firewall e tenetela costantemente aggiornata. Non fidatevi dei messaggi inviati anche dagli amici su Facebook perchè a loro volta potrebbero essere caduti in qualche tipologia di truffa. Per essere "realmente" aggiornati su queste tipologie di truffe seguite la nostra pagina su Facebook.

5 commenti: