Social Network sotto attacco: il “cookie grabber”

Attenzione ai messaggi che ricevete sui social network. Non tutti quelli in arrivo dai vostri amici sono sicuri. Come dice un report di Norman, a volte possono contenere virus. L'azienda specializzata in sicurezza IT ha fotografato la situazione delle minacce informatiche più diffuse nei primi sei mesi dell'anno. Gli utenti di Facebook sono quelli più a rischio, visto che cracker e cyber-criminali stanno cercando attraverso speciali worm di rubare le credenziali di accesso alla community più famosa.

Il più aggressivo in questi ultimi mesi sembra essere W32/Koobface, il "worm" che attacca gli utenti di Facebook. Il malware, una volta che ha avuto accesso al Pc, si impossessa delle credenziali di accesso al social network grazie alla capacità di rubarle all'interno dei cookie e poi invia messaggi agli amici della community, invitandoli a visitare siti Internet infetti. Un cookie è un file di testo contenente dei parametri, che viene inviato dal server web in contemporanea alla pagina, e successivamente viene stoccato in una cartella del vostro browser.

I cookie racchiudono una serie di “caratteristiche” che permettono al browser di identificarli e di associarli al server web che li ha prodotti. Facebook ci invia un cookie per aiutarci a navigare sul suo sito, memorizzare l’identità e le nostre preferenze, così da offrirci qualcosa di più indicato ai nostri gusti. Un’altra funzione importantissima dei cookie è quella di consentirci di accedere ad aree riservate del social network, quindi se proviamo a settare il nostro browser in modo tale da rifiutare i cookie, non potremo autenticarci sul sito.

Il lato negativo dei cookie, è quello dello spam, navigando nel web molte aziende piazzano i loro banner, quando il browser si collega al loro server web per downloadare il banner, le aziende possono inviare un cookie e raccogliere dati sugli utenti, per inviare pubblicità indesiderata. I cookie rimangono sull’hard disk per molto tempo, un soggetto che viene in possesso dei cookie con un cookie grabber, oltre a scoprire informazioni personali, può utilizzarli per loggarsi su Facebook rubando l'identità dell'utente.

Un attacco utilizzato dai crackers in rete si chiama “Cookie Grabbing”, che consiste nel “grabbare” (rubare) i cookie di un utente loggato ad un servizio, e impostarli nel proprio browser in modo da essere loggato con l’ user di quest’ultimo senza conoscerne la password. Per fare ciò, l’attaccante deve riuscire a prendere i cookie all’utente per il sito di Facebook. Questo si può fare sfruttando una XSS e utilizzando un pò di Javascript unito al PHP.

Innanzitutto, l’attaccante crea su uno spazio web una pagina e inserisce il codice. Con un po di social engineering la vittima verrà indirizzata al link della pagina con in più la stringa per rubare i dati. Il sorgente PHP, copierà i dati GET di “cookie”, l’ip, l’ora (compresa di data) e la pagina da cui proviene; in un file html chiamato cookies.html. Per far funzionare l’attacco, la vittima (che deve essere loggata), dovrà visualizzare la pagina afflitta da xss con l’aggiunta del codice JavaScript.

Un buon consiglio, sarebbe evitare di salvare le proprie password, e di inserirle tutte le volte che vi vengono richieste (ogni volta che visitate Facebook). Ancora una volta dunque, l'invito è quello di installare un buon antivirus e di aggiornarlo con assiduità, nonchè di effettuare la rimozione dei cookie a fine navigazione. Chi volesse avere accesso al report di Norman può visitare questo indirizzo web.

Via: Cellular Magazine/Advanced-techno.net
Tags: Cookie Grabber, Facebook Virus, Facebook Phishing, Worm, Facebook Scam, Norman Security