domenica 27 gennaio 2013

Scam su Facebook si diffonde attraverso tag e installa estensione rogue


Un nuovo scam ancora attivo è approdato da qualche ora su Facebook. Sono in tanti e in varie parti del mondo a segnalare attraverso post e status la presenza d'uno strano link che si diffonde attraverso tag. Un nostro amico che è caduto nella trappola può taggarci in un post dove si legge testualmente: "Terör Örgütüyle Yapılan Catışmada 300 Ölü Terörist Ele Gecirildi 50 Şehitimiz Var Videoyu İzlemek İcin : [WWW.EMREBEZEK.***] Bu Videoyu İzlemeyen bizden Değildir", che tradotto significa più o meno: "I terroristi dell'Organizzazione del Terrore hanno sequestrato 300 persone Ci sono 50 martiri uccisi Per vedere il video: [LINK] Questo video non si può guardare".


Come avviene in questi casi, l'utente che viene taggato nel post clicca sul link spinto dalla curiosità. Il link rimanda ad una pagina esterna a Facebook con estensione del nome a dominio .COM (e dunque apparenetemente lecito), che a sua volta effettua un redirect automatico ad un dominio con estensione .TK. Ricordiamo che il dominio gartuito .TK è stato utilizzato spesso in passato per truffe e scam perchè è sufficiente un tot numero di viste mensili per restare attivo.





Sulla pagina esterna ci viene richiesto un aggiornamento del lettore multimediale Flash Player. Se clicchiamo su qualsiasi parte della pagina si aprirà una finestra pop-up di dialogo dove verrà richiesto di installare un componente aggiuntivo per il browser, in particolare per il popolare browser Chrome di Google (non è infatti funzionante su altri browser come ad esempio Internet Explorer, Firefox o Opera. Se decidiamo di installare il plug-in aggiuntivo, questo potrà accedere a diverse informazioni memorizzate sul nostro browser.


Ad esempio, questa estensione può accedere a tutti i dati dell'utente  su tutti i siti web; leggere e modificare la cronologia di navigazione; accedere alle schede e all'attività di navigazione; gestire applicazioni, estensioni e temi; accedere ai dati copiati e incollati; accedere a tutto il testo pronunciato utilizzando la sintesi vocale di Chrome; modificare delle impostazioni che controllano l'accesso dei siti web a cookie, JavaScript e plug-in. Dunque molte informazioni importanti e non solo, come spiega Google.


Infatti effettuerà proprio attraverso Javascript delle azioni a nome e per conto dell'utente di Facebook che ha installato il plug-in malware. Tra l'altro l'estensione è ancora presente sul Play Store di Google. Come abbiamo sempre consigliato, per mitigare proprio queste tipologie di attacchi malware, attivate il controllo approvazione tag del profilo. Per rimuovere l'estensione rogue digitate sulla omnibox del brwoser il seguente comando: "chrome://extensions/" oppure cliccate sul pulsante in alto a destra di Chrome e al menu che si apre cliccate su "Impostazioni" e poi su "Estensioni".



Qui cercate il plug-in da rimuovere e dopo riavviate il browser. Naturalmente, non dimenticate di rimuovere il post dal vostro profilo. Ricordate sempre di aggiornare qualsiasi programma dal sito ufficiale quando possibile (ad esempio Adobe Flash Player dal sito http://get.adobe.com/flashplayer/). In ogni caso, per visualizzare un presunto video (che in realtà non esiste) non è necessario alcun aggiornamento, ed in particolare per Chrome l'evetuale update avviene in modo silente. Tra l'altro la versione attuale non è quella indicata nella truffa bensì la 11.5.502.146 che è stata recentemente rilasciata da Adobe per patchare numerose vulnerabilità.

Nessun commento:

Posta un commento