Gli hacker diventano social: Facebook likejacking, Twitter scams

Andrea Fiore 27/03/11
Il clickjacking è una tecnica utilizzata da alcuni anni da truffatori digitali per intercettare il click di un utente e per dirottarlo su siti di malware o per eseguire azioni che l’utente non aveva intenzione di fare.

A Maggio dell’anno scorso è stato scoperto un analogo utilizzo fraudolento dei click sulla funzionalità mi piace (like in inglese) di Facebook, battezzato appunto likejacking. A quasi un anno di distanza dalla prima scoperta, però, Facebook non ha ancora trovato una soluzione definitiva al problema. Certamente sono stati bloccati i link incriminati ma questa è una soluzione che risolve il problema solo a breve termine e non può certo essere considerata risolutiva.

Probabilmente una possibile soluzione potrebbe essere quella di richiedere un’autorizzazione all’utente tramite un popup con un messaggio “vuoi segnare questo link come mi piace?”. Questo aggiungerebbe quantomeno un altro livello di sicurezza che renderebbe più difficile la diffusione di worm e truffe attraverso il likejacking.

Un’altra soluzione potrebbe essere il monitoraggio da parte di Facebook il numero di non mi piace più (unlike) così da rilevare le eventuali anomalie su certi mi piace.

Il likejacking sta tornando alla ribalta in queste ore in Italia su oltre 100.000 account Facebook dello stivale e che si sta diffondendo a macchia d’olio proprio grazie al meccanismo virale del like.

Sulla bacheca di un account infetto compare il seguente messaggio: “Scontri a Piazza del Popolo video amatoriale che riprende un ragazzo mentre tira dei San Pietrini alla Polizia. DICIAMO BASTA A QUESTE VIOLENZE”.

Il post appare come un video condiviso: ma prima di poter a visualizzare il video l’utente viene invitato a cliccare su mi piace per condividere il link sulla propria bacheca. Se l’utente rifiuta di cliccare su mi piace viene reindirizzato su un sito riguardante un abbonamento via sms su cellulari.

Ma se FB piange, Twitter non ride.

Migliaia di utenti del noto social network, infatti, sono vittima di un’ennesima scam (truffa informatica con le tecniche dell’ingegneria sociale) che richiede alle ignare vittime l’autorizzazione a postare tweet.

Come avviene con i like di FB anche gli utenti twitter autorizzano applicazioni ad interagire con i loro account spesso con poca attenzione.

L’applicazione invia dei tweet di questo tipo: “My profile was viewed ### times JUST TODAY! Click here to see how many views you got!”

Il cavallo di troia con cui l’applicazione convince gli utenti ad autorizzare l’applicazione è un finto test per il quoziente intellettivo con in palio un iPad tra i partecipanti. Al completamento del test all’utente viene richiesto l’accesso all’account e il numero di telefono a cui inviare SMS in abbonamento.

Andrea Fiore

Scrivi un commento

Accedi per poter inserire un commento