Gli account di Facebook sono facili da rubare, senza virus

di Valerio Porcu, 01 dicembre, 2011 09:07

Un ricercatore brasiliano e un esperto di social media spagnolo hanno individuato due diverse vulnerabilità in Facebook. Sembra semplice mandare messaggi per conto di altri, e in poche ore si può penetrare nell'account di chiunque.

 

Bastano 24 ore per "agganciare" chiunque su Facebook e rubargli l'account, e in pochi secondi si può mandare un messaggio falso a chiunque. Due scoperte allarmanti che riguardano la sicurezza di Facebook, e sulle quali il social network probabilmente non può fare molto. E nessuno dei due attacchi richiede esperienza nella programmazione. Una arriva dal Brasile e l'altra dalla Spagna.

Nelson Novaes Neto, ricercatore in sicurezza e comportamento online, ha scoperto che con raffinate tecniche di social engineering si può ottenere il contatto di praticamente chiunque in 24 ore.  Il primo passo è designare un bersaglio, e Neto ha puntato alto prendendo di mira una collega, che ha chiamato SecGirl. 

Cosa vuole dire che non era Cartman?

Poi si crea un falso account per una persona conosciuta dalla vittima. Neto ha scelto un superiore al lavoro. Successivamente si cominciano a chiedere amicizie agli amici degli amici del falso account, e poi ai contatti diretti. In teoria chi si vede arrivare una richiesta di amicizia da una persona che ha già nei contatti dovrebbe sospettare qualcosa, ma in pratica non è così. Se c'è un numero sufficiente di amicizie in comune la maggior parte delle persone accetta la richiesta senza problemi.

In questo modo nel giro di sette ore Nelson ha ottenuto l'amicizia di SecGirl. A questo punto si può procedere alla violazione vera e propria dell'account, senza per questo ricorrere ad avanzati trojan. È lo stesso Facebook che permette di "recuperare la password dimenticata" grazie all'aiuto di tre amici. Nulla impedisce di inserire l'account di un altro però, con tanto di false amicizie.

Così si ottengono mail e password, e le si possono cambiare. A quel punto si è entrati  nell'account bersaglio, e lo si può usare a piacimento. Per non parlare del fatto che una volta ottenuta la password probabilmente si può accedere anche alla posta elettronica e altri servizi.

"Le persone hanno semplicemente ignorato il pericolo insito nell'aggiungere un contatto senza controllare che sia autentico. I social network possono essere fantastici, ma le persone fanno errori. La privacy è una questione di responsabilità sociale", ha dichiarato Neto in un'intervista a un giornale brasiliano.

Una volta cambiata la password, recuperare un account rubato è molto difficile

I rappresentanti di Facebook si sono limitati a risposte di circostanza. "L'azione di Neto viola le norme del social network, e tutti gli utenti dovrebbero segnalare account sospetti, che saranno controllati con attenzione". Ne siamo certi, ma dopotutto il problema qui non è di Facebook; non c'è sviluppatore o esperto di sicurezza che possa fermare il social engineering, perché le "vulnerabilità" che sfrutta non è nelle macchine, ma in noi stessi.

Ti potrebbe interessare anche:

 

Notizie dal web

 

Commenti dei lettori (29)

1/3 avanti   
GADMEISTER 01/12/2011 09:35
-5
Ho fatto bene a togliermi da tutti i social network... E sono fiero...
Vidoque 01/12/2011 09:42
+2
Purtroppo i SC hanno tanti lati positivi ma altrettanti lati negativi. Dovrebbero mettere una cosa del tipo "leggere attentamente il foglietto illustrativo prima dell'uso", come nelle medicine
makrov 01/12/2011 09:43
+3
come al solito il recupero pwd è il punto piu vulnerabile della catena, il social engeenering è sopravvalutato a mio avviso, basterebbe un minimo di consapevolezza sul mezzo per evitare tutti i problemi di social engeenering
The.Zeion 01/12/2011 09:50
0
un sistema decente di recupero password che non la dia a chiccessia no né? Recuperare un account è veramente troppo facile
Roby10 01/12/2011 09:55
0
Mah, mi sembra un po' assurdo che sia così semplice, al di la del rubare psw a sconosciuti, in teoria così non avrei accesso a tutte le psw di quelli che sono già miei amici per davvero?

Devo fare delle prove. Da parte mia ho attivati i vari controlli incrociati tipo sms quando si logga qualcuno da un pc diverso dai miei 2-3 soliti e inserimento di un codice che arriva via sms se provi a loggarti da un dispositivo nuovo.
SuperSandro 01/12/2011 10:12
+2

 Originariamente inviata da GADMEISTER

Ho fatto bene a togliermi da tutti i social network... E sono fiero...


Penso che dovresti essere più prudente:

Se, infatti, ti sei "tolto", vuol dire (elementare, Watson) che prima c'eri.

Immagina che un tuo "amico" (non di quelli veri, ma di quelli semi-finti che avevi su FB) venga a sapere che ti sei cancellato dal servizio di social network: gli basterà ri-creare un falso account con i tuoi dati e navigare su FB spacciandosi per te e A TUA TOTALE INSAPUTA.

La stessa cosa può, ovviamente, capitare anche a chi non si è mai iscritto su FB.
checo 01/12/2011 10:14
0
mi sembra troppo facile sta cosa, praticamente posso entrare negli account dei miei amici senza problemi.
ok se ne accorgeranno ma intanto...
Seraph84 01/12/2011 10:20
+4
non ho capito una cosa: se io perdo la password, devo inserire il mio account e-mail per resettarla/riaverla...se qualcun'altro prova a recuperare la pass inserendo la mia email...la risposta arriverà ALLA MIA email...quindi come può questo qui venire a conoscenza della mia pass??

detto questo, tempo fa mi capitò di ricevere notifiche strane e mille richieste di amicizia da persone sconosciute...una volta controllato FB ho scoperto che una persona terza aveva creato un account con la mia email come user, e tute le notifiche arrivavano a me...ho risolto cambiando la pass (visto che la mail era la mia, il recupero password ha funzionato col mio account email) e cancellando l'account...
SuperSandro 01/12/2011 10:43
0

 Originariamente inviata da Seraph84

...una volta controllato FB ho scoperto che una persona terza aveva creato un account con la mia email come user, e tute le notifiche arrivavano a me...ho risolto cambiando la pass (visto che la mail era la mia, il recupero password ha funzionato col mio account email) e cancellando l'account...



E' capitata la stessa cosa anche a me, ma ERANO ARRIVATE CONFERME DI RICHIESTA DI AMICIZIA da parte di terzi che, ovviamente, non avevo mai concesso!

1. Ho modificato la password della mail di riferimento.
2. Ho cancellato l'account
3. L'ho ricreato subito dopo re-inserendo gli amici (quelli veri) previa e-mail a parte in cui raccontai quanto mi era successo.
Argion 01/12/2011 10:58
+1
Posto che non vedo di che essere fieri nel non registrarsi su un social network, l' unico vero problema è che alla gente non viene spiegato per bene cosa significhi.
Tutti i problemi legati ai social network dipendono in larga maggioranza dall' ignoranza degli utenti nell' usarli.
L' ignoranza è sicuramente anche conseguenza della superficialità nel processo di registrazione (come già detto servirebbe un vademecum informativo prima di registrarsi per informare di COSA si sta facendo.. ma nessuno lo leggerebbe lo stesso!).
Detto per inciso nessuno vieta di registrare un account con nome Pippo Paperino, non mettere foto, non mettere contatti, non accettare amicizie a caxxo... insomma il solito discorso applicabile in toto alle auto, all' alchol e tutto il resto: è più facile incolpare il mezzo che non chi ne usufruisce.

Detto questo spero che a scuola si faccia un pò di chiarezza su come utilizzare questi strumenti, i bambini di oggi sono veramente TROPPO esposti e i loro genitori spesso ne capiscono molto meno di loro..
1/3 avanti   
Devi essere collegato scrivere un commento!

Accesso utenti

Nome utente:
Password:
 
Segui Tom's Hardware!
Informazioni su Tom's Hardware
powered by
Powerd by Aruba Cloud Powerd by Intel Powerd by Dell

Copyright © 2014 A Purch Company. Tutti i diritti riservati.
P.Iva 04146420965 - Testata registrata presso il Tribunale di Milano, nr. 285 del 9/9/2013
Clicca per i dettagli