Facebook ha introdotto nuovi meccanismi destinati a prevenire il clickjacking ed il javasticking (i codici javascript incollati sulla barra degli indirizzi mentre si è loggati su Facebook), utilizzati comunemente nelle truffe sondaggio o per far eseguire automaticamente delle operazioni al profilo Facebook. Le misure di prevenzione delle truffe sono state rivelate in un post sulla pagina di Facebook Security che ha annunciato varie modifiche connesse alla sicurezza sulla piattaforma.
Per prima cosa Facebook è felice di annunciare una partnership con Web of Trust. Web of Trust è uno strumento gratuito di navigazione sicura che vi indica se ci si può fidare dei siti web basati sui rating forniti da altri membri della comunità Web Trust. Facebook ha già un sistema che analizza automaticamente i collegamenti per determinare se il contenuto dei siti web associati a questi link sono spam o contenenti malware.
"Questa partnership ci aiuterà a migliorare il nostro sistema, fornendo ulteriori collegamenti difettosi, e nei prossimi mesi, ci aspettiamo di aumentare massicciamente la nostra copertura anche maggiormente, lavorando con altri leader del settore. Si può diventare parte di questa comunità anche tramite il Web of Trust add-on, e lasciare il proprio rating", ha detto Facebook.
Protezione clickjacking
Il clickjacking è un tipo di attacco che sfrutta un difetto di progettazione nel modo di lavorare del browser che consente agli aggressori di creare un pulsante invisibile e sovrapporlo con un altro elemento innocuo utilizzando legittime tecniche di programmazione web. In tali attacchi agli utenti viene fatto credere che vengano effettuate delle azioni legittime quando infatti i loro click sono dirottati e utilizzati per eseguire quelli non autorizzati. Su Facebook questa tecnica è utilizzata da truffatori per ingannare gli utenti in messaggi di spam condivisione sulle loro pareti e per esprimere il gradimento di pagine canaglia (likejacking).
"Abbiamo costruito delle protezioni per rilevare il bottone clickjacking di Facebook come bloccare i link a pagine note di clickjacking. Recentemente, abbiamo migliorato anche i nostri sistemi per avvertire la gente se credono di essere ingannati. Ora, quando si rileva qualcosa di sospetto, ti chiediamo di confermare la vostra volontà, prima di pubblicare attarverso il like una storia sul vostro profilo e 'Newsfeed dei vostri amici ", precisa la società.
Protezione self-XSS
Un altro meccanismo di protezione ha come obiettivo le truffe dove viene incollato del codice JavaScript canaglia nella barra degli indirizzi del browser ("javasticking"). Il codice piggyback su sessioni attive degli utenti di Facebook per eseguire un'azione non autorizzata. L'azienda ha sviluppato un filtro anti-XSS progettato specificamente per catturare questo tipo di abuso.
"Ora, quando i nostri sistemi rilevano che qualcuno ha incollato del codice maligno nella barra degli indirizzi, mostreremo una finestra per confermare che sia l'utente ad eseguire ciò, oltre a fornire informazioni sul perché si tratta d'una cattiva idea", ha detto Facebook. Ovviamente, gli utenti devono imparare a riconoscere queste truffe ed uscirne chiaramente fuori da sè prima che si rendano necessari i sistemi di Facebook, perché nessun meccanismo di protezione è buona come il buon senso.
Facebook stà inoltre lavorando con le aziende produttrici dei principali browser per risolvere il problema di fondo che permette agli spammer di fare questo. Internet Explorer 9 ha già messo in atto alcune protezioni, e Facebook stà parlando con gli altri su come fornire una protezione simile.
Approvazioni Login
Infine, la nuova caratteristica di sicurezza avanzata, Approvazioni Login, è ora disponibile per tutti coloro che utilizzano Facebook. Si tratta di un sistema di autenticazione a due fattori che è stato annunciato il mese scorso. Se si sceglie di usarlo, ogni volta che si accede a Facebook da un nuovo dispositivo o non riconosciuto, è necessario inserire un codice che viene inviato al cellulare tramite SMS.
Se Facebook vede un tentativo di accesso da un dispositivo che non è stato registrato, vi verrà notificato al vostro prossimo login e verrà chiesto di verificare il tentativo. Se non viene riconosciuto questo login, sarete in grado di cambiare la password con la consapevolezza che, mentre qualcun altro potrebbe avere conosciuto le credenziali di accesso, lui o lei non saranno stati in grado di accedere al vostro account o causare danni. La descrizione delle Approvazioni Login (Login Approvals) lo trovate su un post della pagina Facebook Engineering.
Nessun commento:
Posta un commento