Facebook mostra avviso di sicurezza McAfee a utenti che visitano siti esterni

In queste ore molti utenti di Facebook stanno segnalando la presenza di un avviso di sicurezza del social network, nel momento in cui cliccano su un link che li rimanda ad un sito esterno alla piattaforma. Nel messaggio "interstiziale" (parte in inglese e parte in italiano) si avvisano in sostanza gli utenti di prestare attenzione nel visitare il sito e si consiglia di installare il plug-in di sicurezza McAfee. Nel messaggio si includono, inoltre, i link che rimandano alla pagina di Facebook Security e a quella di Wikipedia su malware e phishing. Nell'avviso, in particolare, si legge testualmente:

"The link you are trying to visit has been classified as potentially abusive by a Facebook partner. Per saperne di più sulla sicurezza in Internet, visita la Pagina dedicata alla ‎Protezione‎ di Facebook. Leggi anche gli articoli di Wikipedia su ‎malware‎ e ‎phishing‎. To stay safe outside Facebook, get the ‎free ‎McAfee SiteAdvisor‎ plug-in‎ Protection provided in collaboration with ‎McAfee SiteAdvisor‎. ‎Maggiori informazioni‎ Ignora questo avvertimento"

Che tradotto: "Il link che si sta tentando di visitare è stato classificato come potenzialmente abusivo da un partner di Facebook. Per saperne di più sulla sicurezza in Internet, visita la Pagina dedicata alla ‎Protezione‎ di Facebook. Leggi anche gli articoli di Wikipedia su ‎malware‎ e ‎phishing‎. Per stare al sicuro al di fuori di Facebook, ottenere il gratuito McAfee SiteAdvisor plug-in Protection fornito in collaborazione con McAfee SiteAdvisor."

L'avviso interstiziale è possibile che venga visualizzato anche navigando con browser mobile (ad esempio Safari) da smartphone e tablet. Durante la navigazione desktop abbiamo notato comunque che il messaggio viene presentato soprattutto utilizzando il browser Mozilla Firefox, mentre non abbiamo ricevuto (fino adesso) nessun messaggio utilizzando Google Chrome. Un link d'esempio che mostra l'avviso di sicurezza è possibile ottenerlo cliccando su http://on.fb.me/VsW5cG.

Chiariamo che un tal avviso non significa necessariamente che si tratta d'una pagina esterna pericolosa. L'accesso ai siti ritenuti dal sistema di sicurezza al 100% di phishing o malware viene bloccato e Facebook non permette l'uscita dalla piattaforma. Anzi, non di rado avviene il contrario e cioè che pagine pericolose non sono segnalate e viceversa si. Le cause possono essere diverse: ad esempio se sul sito o blog sono presenti banner pubblicitari (ci sono pervenute segnalazioni di avvisi ricevuti anche sul sito ufficiale di YouTube).

Ma il motivo principale è imputabile al sito che non è stato "verificato". Il sistema, infatti utilizza McAfee Site Advisor, un software gratuito di protezione che segnala attraverso icone intuitive il parere di McAfee e della sua community sul grado di sicurezza di un sito prima dell'accesso. Il problema è che segnala anche quelli "sconosciuti" cioè non ancora verificati (si possono comunque inviare le opinioni cliccando sul link incluso nell'avviso, ad esempio qui http://mcaf.ee/oia1g per un nostro post.

L'avviso interstiziale Facebook di sicurezza utilizzava inizialmente WOT in seguito alla partnership stretta lo scorso anno con la comunità Websense. Successivamente McAfee ha stretto accordi con Facebook, fino all'introduzione Facebook Antivirus Marketplace. Come possiamo leggere alla pagina di verifica di McAfee www.siteadvisor.com/sites/protezioneaccount.com, (ma si può effettuare la verifica anche per altri aggiungendo all'indirizzo www.siteadvisor/sites/ l'URL del sito)  sul nostro "non sono stati individuati problemi significativi".

Alcuni siti o blog però, con basso numero di visite (o comunque poco noti rispetto, ad esempio, ad importanti testate giornalistiche), possono non "ricevere" l'icona verde e restare in grigio in attesa di eventuali opinioni positive o negative da parte degli utenti. E' verosimile che Facebook abbia innalzato il livello di sicurezza in seguito al proof-of-concept che mostra una falla nel sistema. Inoltre, è verosimile che Facebook voglia promuovere il componente aggiuntivo per browser di McAfee.

Su Chrome il messaggio non viene visualizzato probabilmente perchè McAfee Site Advisor non è ancora compatibile con il browser di Google. Non possiamo consigliarvi di ignorare il messaggio a priori, ma è ovvio che se il link proviene da Pagine Facebook conosciute e comunque che visitate spesso, non avete nulla di cui preoccuparvi: ignorate l'avviso e proseguite, il sistema apprenderà la vostra scelta. Restano comunque i consigli di sempre e cioè di prestare attenzione quando ricevete link in posta o condivisi sulla vostra bacheca Facebook.

Cybercriminali potrebbero adottare nuovo metodo phishing utilizzando URI

In un documento [PDF] recentemente rilasciato da Henning Klevjer, uno studente di information security presso l'Università di Oslo in Norvegia, dimostra che i criminali informatici possono migliorare gli attacchi di phishing basandosi sullo standard delle comunicazioni noto come l'Uniform Resource Identifier (URI). L'esperto spiega che l'attaccante potrebbe sviluppare pagine di phishing autonome, il cui contenuto può essere codificato in Base64 per mascherare le sue reali intenzioni. Questa pagina può essere codificata e quindi inserito all'interno di un URI.

In sostanza, gli URI sono URL che non puntano a postazioni remote, piuttosto, essi includono tutti i dati che sono visualizzati all'utente. Il termine comprende il più noto Uniform Resource Locator (URL) e Uniform Resource Name (URN). Tuttavia, mentre gli URL indicano la posizione di una risorsa di rete specifica e come deve essere letta (cioè con HTTP, HyperText Transfer Protocol), gli URI sono più flessibili e possono anche essere utilizzati per ospitare i dati dei "link to".

Secondo Paul Roberts, ingegnere di Sophos, Klevjer ha dimostrato le sue scoperte con la creazione di una falsa di pagina di Wikipedia utilizzando questa tecnica. A quanto pare, è stato in grado di ridurre l'URI abbastanza grande (24.682 caratteri) in soli 26 caratteri utilizzando i servizi di abbreviazione degli URL, che a quanto pare giocano un ruolo chiave in questi attacchi. L'intenzione è di indurre le vittime che ricevono il link a cliccare su di esso, lanciando il loro browser web.

Ogni moderno browser supporta lo schema URI e renderà l'URI codificato come una pagina nel browser della vittima. Il metodo di attacco URI non è nuovo. Nel 2007, i ricercatori Billy "BK" Rios e McFeters Nathan hanno esplorato attacchi simili [PDF] contro i browser IE6 e IE7 di Microsoft che sfruttavano la funzionalità senza documenti per la gestione degli URI. L'uso di URI dà la possibilità ai pirati informatici sofisticati di poter iniziare la circolazione di pagine phishing individuali mirate ad un certo numero di vittime.

Il metodo vince anche le difese contro gli attacchi di phishing tradizionali, come ad esempio il filtraggio web e gestione della reputazione, perché le vittime non avrebbero bisogno di comunicare con un server di attacco, sostiene Klevjer. E il metodo non è limitato agli attacchi phishing. Klevjer ha scritto una e-mail a Naked Security, nella quale spiega che il ricercatore di sicurezza norvegese Per Thorsheim ha sottolineato che un URI dati potrebbe contenere anche una applet Java (compromesso). A tal proposito vale la pena ricordare la pericolosa vulnerabilità Java zero-day scoperta questa settimana.

"Il problema è che ci sono poche difese contro questo tipo di phishing. Il Web Browser non si connette a qualsiasi risorsa esterna per visualizzare il phishing, a meno che le immagini sono incluse da siti remoti (che potrebbero anche essere incorporati). L'unico limite è la dimensione che il browser impone agli URL", ha spiegato Johannes Ullrich, ricercatore di SANS. Se vengono utilizzati short URL, per esempio, il contenuto dannoso si troverà all'interno di un collegamento. Ullrich fa notare, però, che gli aggressori avrebbero ancora bisogno di gestire una infrastruttura di backend per ricevere i dati rubati nell'attacco.

Tuttavia, egli dice che i pirati informatici sofisticati potrebbero anche sgattaiolare i dati rubati utilizzando un modulo per la richiesta DNS appositamente predisposto, che trasferirebbe le credenziali di accesso ad un sistema remoto. Prospettando un tentativo di phishing, sarà possibile inserire il modulo, ma ci sarà ancora bisogno di un server web per ricevere i dati. A meno che, naturalmente, sia  possibile exfiltrare questo DNS. Di seguito un piccolo proof of concept HTML / javascript per spiegare ciò.

"L'uso di URI per scopi dannosi non è una novità, ma è chiaro che la ricerca appena andrà avanti su questo argomento, i criminali informatici rivolgeranni la loro attenzione ad esso. Attualmente, alcuni browser web sono progettati per mitigare tali attacchi. Per esempio, Chrome reindirizza i blocchi per gli URL dei dati e versioni più recenti di Internet Explorer limitano la quantità di dati che possono essere confezionati. Tuttavia, Opera e Firefox  (recentemente aggiornato da Mozilla alla versione 15) li eseguono senza alcuna difficoltà.