Bastano 24 ore per "agganciare" chiunque su Facebook e rubargli l'account, e in pochi secondi si può mandare un messaggio falso a chiunque. Due scoperte allarmanti che riguardano la sicurezza di Facebook, e sulle quali il social network probabilmente non può fare molto. E nessuno dei due attacchi richiede esperienza nella programmazione. Una arriva dal Brasile e l'altra dalla Spagna.
Nelson Novaes Neto, ricercatore in sicurezza e comportamento online, ha scoperto che con raffinate tecniche di social engineering si può ottenere il contatto di praticamente chiunque in 24 ore. Il primo passo è designare un bersaglio, e Neto ha puntato alto prendendo di mira una collega, che ha chiamato SecGirl.
Cosa vuole dire che non era Cartman?
Poi si crea un falso account per una persona conosciuta dalla vittima. Neto ha scelto un superiore al lavoro. Successivamente si cominciano a chiedere amicizie agli amici degli amici del falso account, e poi ai contatti diretti. In teoria chi si vede arrivare una richiesta di amicizia da una persona che ha già nei contatti dovrebbe sospettare qualcosa, ma in pratica non è così. Se c'è un numero sufficiente di amicizie in comune la maggior parte delle persone accetta la richiesta senza problemi.
In questo modo nel giro di sette ore Nelson ha ottenuto l'amicizia di SecGirl. A questo punto si può procedere alla violazione vera e propria dell'account, senza per questo ricorrere ad avanzati trojan. È lo stesso Facebook che permette di "recuperare la password dimenticata" grazie all'aiuto di tre amici. Nulla impedisce di inserire l'account di un altro però, con tanto di false amicizie.
Così si ottengono mail e password, e le si possono cambiare. A quel punto si è entrati nell'account bersaglio, e lo si può usare a piacimento. Per non parlare del fatto che una volta ottenuta la password probabilmente si può accedere anche alla posta elettronica e altri servizi.
"Le persone hanno semplicemente ignorato il pericolo insito nell'aggiungere un contatto senza controllare che sia autentico. I social network possono essere fantastici, ma le persone fanno errori. La privacy è una questione di responsabilità sociale", ha dichiarato Neto in un'intervista a un giornale brasiliano.
Una volta cambiata la password, recuperare un account rubato è molto difficile
I rappresentanti di Facebook si sono limitati a risposte di circostanza. "L'azione di Neto viola le norme del social network, e tutti gli utenti dovrebbero segnalare account sospetti, che saranno controllati con attenzione". Ne siamo certi, ma dopotutto il problema qui non è di Facebook; non c'è sviluppatore o esperto di sicurezza che possa fermare il social engineering, perché le "vulnerabilità " che sfrutta non è nelle macchine, ma in noi stessi.