Phishing su Facebook con falsa applicazione e script ruba password

Continuano gli attacchi agli utenti di Facebook, sfruttando bug del social network, applicazioni malevole o più semplicemente, la poca attenzione della grande maggioranza degli utenti. E i ricercatori di Symantec hanno segnalato il rapido diffondersi di un’applicazione pericolosa per la sicurezza dell’utente, in grado di rubare le credenziali d’accesso degli utenti al social network. Come anche lo stesso Internet Security Threat Report di Symantec ha evidenziato, infatti, la presa di coscienza dei pericoli che si possono correre è ancora troppo bassa. Per quanto riguarda i canali utilizzati dai cyber criminali, il preferito rimane quello dei social network dove una delle principali tecniche di attacco riguarda l’utilizzo di URL abbreviati. L'applicazione, in questo caso, visualizza il messaggio su Facebook: "Tornado Randomly Appears During Soccer Game" ("Tornado appare casualmente durante partita di calcio")

Cliccando sul messaggio si avvia il download automatico di uno script da http:// [IP rimosso] / fb2.js, che visualizza un messaggio di login ed effettua il logout da Facebook se l'utente era collegato, invitandolo, dopo avergli fatto visualizzare un errore, ad effettuare nuovamente il login, attraverso un form in apparenza assolutamente legittimo.

Quando l'utente fa clic sul pulsante "Login", verrà visualizzato il falso modulo di login.  Si tratta di toolkit che nell’ultimo anno hanno registrato un momento di grande sviluppo diventando un elemento ancora più influente nello scenario delle minacce su Facebook. Con i toolkit gli attacchi possono essere sferrati con meno sforzo e in minor tempo.

Quando l'utente immette dati di login e clicca sul pulsante Login, la falsa applicazione invia due richieste POST: una per Facebook.com, e l'altro al server "maligno". La richiesta inviata al server malevolo ha il seguente formato: http:// [IP_rimosso] /log.php?email =[indirizzo email] & pass =[password]. Il consiglio è utilizzare la pratica migliore, controllando la barra di informazioni per determinare l'URL di destinazione, ma ciò non è sufficiente in questo caso. La barra degli indirizzi apparirà com apps.facebook.com quando il modulo di login è visualizzato, anche se le credenziali verranno inviati ad un sito "maligno", invece. I seguenti registri dello spammer mostrano gli indirizzi e-mail e password che vengono inviati al server "maligno":

L’applicazione a questo punto inoltra il messaggio ingannevole anche sulla bacheca del malcapitato di turno, rendendolo visibile a tutti i suoi amici. Symantec ha anche osservato un attacco simile ospitato sullo stesso indirizzo IP. Si visualizza un messaggio diverso: "Video: This is the best April Fools' prank ever!" ("Video: questo è il miglior scherzo che mai come pesce d'aprile!"). Questo attacco impiega anche la stessa tecnica, come detto sopra, al fine di rubare nomi utente e password per gli utenti che hanno account Facebook. Symantec esorta i lettori a installare tutte le patch di sicurezza e le definizioni regolarmente. I consigli sono sempre gli stessi, che oramai coloro che ci seguono costantemente avranno più che chiari. Evidentemente però sono ancora troppo pochi quelli che prestano la dovuta attenzione alla propria sicurezza, dato che ogni volta che si assiste al diffondersi di sistemi simili, si contano centinaia di migliaia di utenze compromesse.