Già in passato vi ho spiegato come recuperare una pagina Facebook rubata, in quanto ricevo ogni mese decine di richieste di questo tipo. Oggi voglio mostrarvi come, i malfattori, siano in grado di rubare le pagine Facebook (ma anche profili) in un modo molto tanto semplice quanto efficace. Sappiate fin da subito che, senza accorgervene, nel 99% dei casi, quando vi rubano una pagina o profilo Facebook (ma in realtà di qualsiasi altra piattaforma), siete direttamente voi a consegnare le chiavi di accesso: non esiste alcun software magico o similare, la falla del sistema siete voi.
Tornando al nostro profilo o pagina Facebook, tutto generalmente parte da una mail, come quella che qui sotto vi propongo. Adducendo scuse più o meno valide, si informa l’utente che è necessario procedere ad una verifica del proprio profilo/pagina. Nell’esempio riportato, l’esca è quella di aver violato un qualche diritto d’autore, pubblicando materiale protetto da Copyright. Una scusa che, bene o male, potrebbe funzionare, in quanto è facile condividere materiale di cui non conosciamo l’effettiva origine.
Il fatto che la mail in questione non sia finita in spam, è ovviamente un punto a favore per l’attaccante. Inoltre, il link mostrato nella mail mostra la dicitura “facebook.com”, collegamento al quale effettivamente l’utente viene rimandato! Facendo click sul link, infatti, si viene rimandati ad una nota di Facebook: in poche parole, per l’utente medio, si tratta di una situazione sicura.
L’attacco è molto ben fatto, in quanto la mail di avviso rimanda ad una nota di Facebook (e quindi, anche verificando la pagina di destinazione, tutto sembra lecito), peccato che, all’interno della nota stessa (perdonerete la ripetizione dei vocaboli, ma appare così chiaro il processo) vi sia non soltanto il messaggio di allerta per violazione di Copyright, ma un ulteriore link sul quale si invita a fare click, per procedere ad una verifica del profilo/pagina.
Lo screenshot qui sotto riportato aiuterà sicuramente la comprensione.
Anche qui, ad un occhio poco tecnico, tutto sembra corretto: viene riportato il numero del caso di violazione del Copyright, l’autore del diritto d’autore ed una serie di informazioni, fino al link con il quale è possibile appellarsi o comunque ripristinare l’anomalia (fasulla) all’interno del proprio profilo/pagina. Peccato che, questa volta, facendo click su questo link, si venga riportati ad una pagina esterna a Facebook e per la precisione, l’utente viene riportato in una pagina di phishing, nella quale verranno chiesti una serie di dati personali/sensibili e la relativa password del profilo!
Ma andiamo con ordine, analizziamo nello screenshot qui di seguito la reale destinazione del link indicato. Come potrete vedere nella parte che ho evidenziato, facendo click sul collegamento si viene riportato ad un sito Web esterno, nonostante il testo del collegamento sia “facebook.com”.
Inoltre, non appena l’utente farà click su questo collegamento fasullo, nella barra degli indirizzi del browser l’inganno è più chiaro: non ci troviamo più su Facebook.
Anche qui, lo screenshot è autoesplicativo, basta seguire la freccia.
A questo punto, cosa vorrete mai che accada, nel momento in cui il malcapitato utente farà click sul bottone “Continue”? Verranno richiesti una serie di informazioni pubbliche (come, per esempio, l’URL del proprio profilo Facebook, al fine di rendere più credibile l’operazione) e poi, al termine di tutto ciò, la fatica password che permetterà all’attaccante di entrare in possesso della vostra identità!
Inserendo una password errata, il sistema rileva che la chiave di accesso non è corretta. Non è ben chiaro se si tratti di un semplice “trucco” o se venga effettuato effettivamente un controllo sui dati inseriti. Se così fosse, molto probabilmente il sistema è in grado di intercettare la richiesta del codice a doppia autenticazione (se attivo), così da permettere di eludere anche questo sistema di sicurezza. In poche parole, copiando la sessione di accesso, questo attacco sarebbe in grado di bypassare anche il fattore a doppia autenticazione. L’argomento è complicato, motivo per cui non lo trattiamo.
Vi lascio quindi con l’ultimo fatidico screenshot, in cui viene chiesta la password.
