Articoli e news    Prezzi
Tom's Hardware Business Sicurezza

Gli account di Facebook sono facili da rubare, senza virus

09:07 - 1 dicembre 2011 di Valerio Porcu

Un ricercatore brasiliano e un esperto di social media spagnolo hanno individuato due diverse vulnerabilità in Facebook. Sembra semplice mandare messaggi per conto di altri, e in poche ore si può penetrare nell'account di chiunque.

Bastano 24 ore per "agganciare" chiunque su Facebook e rubargli l'account, e in pochi secondi si può mandare un messaggio falso a chiunque. Due scoperte allarmanti che riguardano la sicurezza di Facebook, e sulle quali il social network probabilmente non può fare molto. E nessuno dei due attacchi richiede esperienza nella programmazione. Una arriva dal Brasile e l'altra dalla Spagna.

Nelson Novaes Neto, ricercatore in sicurezza e comportamento online, ha scoperto che con raffinate tecniche di social engineering si può ottenere il contatto di praticamente chiunque in 24 ore.  Il primo passo è designare un bersaglio, e Neto ha puntato alto prendendo di mira una collega, che ha chiamato SecGirl. 

Cosa vuole dire che non era Cartman?

Poi si crea un falso account per una persona conosciuta dalla vittima. Neto ha scelto un superiore al lavoro. Successivamente si cominciano a chiedere amicizie agli amici degli amici del falso account, e poi ai contatti diretti. In teoria chi si vede arrivare una richiesta di amicizia da una persona che ha già nei contatti dovrebbe sospettare qualcosa, ma in pratica non è così. Se c'è un numero sufficiente di amicizie in comune la maggior parte delle persone accetta la richiesta senza problemi.

In questo modo nel giro di sette ore Nelson ha ottenuto l'amicizia di SecGirl. A questo punto si può procedere alla violazione vera e propria dell'account, senza per questo ricorrere ad avanzati trojan. È lo stesso Facebook che permette di "recuperare la password dimenticata" grazie all'aiuto di tre amici. Nulla impedisce di inserire l'account di un altro però, con tanto di false amicizie.

Così si ottengono mail e password, e le si possono cambiare. A quel punto si è entrati  nell'account bersaglio, e lo si può usare a piacimento. Per non parlare del fatto che una volta ottenuta la password probabilmente si può accedere anche alla posta elettronica e altri servizi.

"Le persone hanno semplicemente ignorato il pericolo insito nell'aggiungere un contatto senza controllare che sia autentico. I social network possono essere fantastici, ma le persone fanno errori. La privacy è una questione di responsabilità sociale", ha dichiarato Neto in un'intervista a un giornale brasiliano.

Una volta cambiata la password, recuperare un account rubato è molto difficile

I rappresentanti di Facebook si sono limitati a risposte di circostanza. "L'azione di Neto viola le norme del social network, e tutti gli utenti dovrebbero segnalare account sospetti, che saranno controllati con attenzione". Ne siamo certi, ma dopotutto il problema qui non è di Facebook; non c'è sviluppatore o esperto di sicurezza che possa fermare il social engineering, perché le "vulnerabilità" che sfrutta non è nelle macchine, ma in noi stessi.

Continua a leggere - Vai a pag. 2 
Condividi:   
Portabilità del numero di cellulare in 24 ore: finalmente!
  • Ultime news
  • Facebook
  • Social

Commenti

Aggiungi un tuo commento
1/3 avanti    
GADMEISTER 01/12/2011 09:35
 
-5 
 
Ho fatto bene a togliermi da tutti i social network... E sono fiero...
A causa dei voti negativi ricevuti dagli utenti, questo commento non è visibile. Clicca qui per leggerlo.
Vidoque 01/12/2011 09:42
 
+2 
 
Purtroppo i SC hanno tanti lati positivi ma altrettanti lati negativi. Dovrebbero mettere una cosa del tipo "leggere attentamente il foglietto illustrativo prima dell'uso", come nelle medicine
makrov 01/12/2011 09:43
 
+3 
 
come al solito il recupero pwd è il punto piu vulnerabile della catena, il social engeenering è sopravvalutato a mio avviso, basterebbe un minimo di consapevolezza sul mezzo per evitare tutti i problemi di social engeenering
The.Zeion 01/12/2011 09:50
 
 
un sistema decente di recupero password che non la dia a chiccessia no né? Recuperare un account è veramente troppo facile
Roby10 01/12/2011 09:55
 
 
Mah, mi sembra un po' assurdo che sia così semplice, al di la del rubare psw a sconosciuti, in teoria così non avrei accesso a tutte le psw di quelli che sono già miei amici per davvero?

Devo fare delle prove. Da parte mia ho attivati i vari controlli incrociati tipo sms quando si logga qualcuno da un pc diverso dai miei 2-3 soliti e inserimento di un codice che arriva via sms se provi a loggarti da un dispositivo nuovo.
SuperSandro 01/12/2011 10:12
 
+2 
 

 Originariamente inviata da GADMEISTER

Ho fatto bene a togliermi da tutti i social network... E sono fiero...


Penso che dovresti essere più prudente:

Se, infatti, ti sei "tolto", vuol dire (elementare, Watson) che prima c'eri.

Immagina che un tuo "amico" (non di quelli veri, ma di quelli semi-finti che avevi su FB) venga a sapere che ti sei cancellato dal servizio di social network: gli basterà ri-creare un falso account con i tuoi dati e navigare su FB spacciandosi per te e A TUA TOTALE INSAPUTA.

La stessa cosa può, ovviamente, capitare anche a chi non si è mai iscritto su FB.
checo 01/12/2011 10:14
 
 
mi sembra troppo facile sta cosa, praticamente posso entrare negli account dei miei amici senza problemi.
ok se ne accorgeranno ma intanto...
Seraph84 01/12/2011 10:20
 
+4 
 
non ho capito una cosa: se io perdo la password, devo inserire il mio account e-mail per resettarla/riaverla...se qualcun'altro prova a recuperare la pass inserendo la mia email...la risposta arriverà ALLA MIA email...quindi come può questo qui venire a conoscenza della mia pass??

detto questo, tempo fa mi capitò di ricevere notifiche strane e mille richieste di amicizia da persone sconosciute...una volta controllato FB ho scoperto che una persona terza aveva creato un account con la mia email come user, e tute le notifiche arrivavano a me...ho risolto cambiando la pass (visto che la mail era la mia, il recupero password ha funzionato col mio account email) e cancellando l'account...
SuperSandro 01/12/2011 10:43
 
 

 Originariamente inviata da Seraph84

...una volta controllato FB ho scoperto che una persona terza aveva creato un account con la mia email come user, e tute le notifiche arrivavano a me...ho risolto cambiando la pass (visto che la mail era la mia, il recupero password ha funzionato col mio account email) e cancellando l'account...



E' capitata la stessa cosa anche a me, ma ERANO ARRIVATE CONFERME DI RICHIESTA DI AMICIZIA da parte di terzi che, ovviamente, non avevo mai concesso!

1. Ho modificato la password della mail di riferimento.
2. Ho cancellato l'account
3. L'ho ricreato subito dopo re-inserendo gli amici (quelli veri) previa e-mail a parte in cui raccontai quanto mi era successo.
Argion 01/12/2011 10:58
 
+1 
 
Posto che non vedo di che essere fieri nel non registrarsi su un social network, l' unico vero problema è che alla gente non viene spiegato per bene cosa significhi.
Tutti i problemi legati ai social network dipendono in larga maggioranza dall' ignoranza degli utenti nell' usarli.
L' ignoranza è sicuramente anche conseguenza della superficialità nel processo di registrazione (come già detto servirebbe un vademecum informativo prima di registrarsi per informare di COSA si sta facendo.. ma nessuno lo leggerebbe lo stesso!).
Detto per inciso nessuno vieta di registrare un account con nome Pippo Paperino, non mettere foto, non mettere contatti, non accettare amicizie a caxxo... insomma il solito discorso applicabile in toto alle auto, all' alchol e tutto il resto: è più facile incolpare il mezzo che non chi ne usufruisce.

Detto questo spero che a scuola si faccia un pò di chiarezza su come utilizzare questi strumenti, i bambini di oggi sono veramente TROPPO esposti e i loro genitori spesso ne capiscono molto meno di loro..
1/3 avanti    
Accedi o  registrati.
Nome utente:
Password:
  • News suggerite
Segnala TomsHW

Correlazioni

  Azienda: Facebook
  Categorie: Sicurezza, Web & Social
  Tag: Social, Malware

Correlati

Facebook invaso dal porno, la colpa forse di Anonymous
Facebook ti segue ovunque, anche se lo cacci via
Tabnabbing, la tecnica di phishing che usa le TAB
Facebook contro Google+, no all'export dei contatti
Utenti italiani vi decidete a cambiare password?
Black Hat 2007, ecco come si buca Gmail
Facebook: arrivano videochiamate e chat di gruppo
Facebook, le App accedono a indirizzo e telefono
Facebook non accetta l'amicizia di iTunes Ping
Windows Live Essentials 2011, rinnovo completo

In evidenza

GeForce GTX 690 4GB, dual-GPU Nvidia Kepler alla massima potenza
Canon EOS 5D Mark III, primo contatto e scatti di prova
OCZ Vertex 4 e Indilinx Everest 2, buone prestazioni con il trucco
Mass Effect 3: analisi delle prestazioni con schede video e CPU diverse
Qual è la dimensione ideale di un tablet?

Business - Articoli più letti

27 tecnologie automobilistiche dal futuro
Timeline di Facebook: 15 consigli per una copertina del Diario spettacolare
Confronto Browser, Ubuntu 11.10: Chrome 17, Firefox 10, Opera 11.61, IE9 e Safari 5.1.2
Quale browser usare su un vecchio computer con Windows XP?
Fantascienza, la tecnologia che vorremmo per davvero
gli articoli più letti