Questa testata è partner di La Repubblica e contribuisce alla sua audience
Hot topics:
5 minuti

Gli account di Facebook sono facili da rubare, senza virus

Un ricercatore brasiliano e un esperto di social media spagnolo hanno individuato due diverse vulnerabilità in Facebook. Sembra semplice mandare messaggi per conto di altri, e in poche ore si può penetrare nell'account di chiunque.

Gli account di Facebook sono facili da rubare, senza virus

Bastano 24 ore per "agganciare" chiunque su Facebook e rubargli l'account, e in pochi secondi si può mandare un messaggio falso a chiunque. Due scoperte allarmanti che riguardano la sicurezza di Facebook, e sulle quali il social network probabilmente non può fare molto. E nessuno dei due attacchi richiede esperienza nella programmazione. Una arriva dal Brasile e l'altra dalla Spagna.

Nelson Novaes Neto, ricercatore in sicurezza e comportamento online, ha scoperto che con raffinate tecniche di social engineering si può ottenere il contatto di praticamente chiunque in 24 ore.  Il primo passo è designare un bersaglio, e Neto ha puntato alto prendendo di mira una collega, che ha chiamato SecGirl. 

Cosa vuole dire che non era Cartman?

Poi si crea un falso account per una persona conosciuta dalla vittima. Neto ha scelto un superiore al lavoro. Successivamente si cominciano a chiedere amicizie agli amici degli amici del falso account, e poi ai contatti diretti. In teoria chi si vede arrivare una richiesta di amicizia da una persona che ha già nei contatti dovrebbe sospettare qualcosa, ma in pratica non è così. Se c'è un numero sufficiente di amicizie in comune la maggior parte delle persone accetta la richiesta senza problemi.

In questo modo nel giro di sette ore Nelson ha ottenuto l'amicizia di SecGirl. A questo punto si può procedere alla violazione vera e propria dell'account, senza per questo ricorrere ad avanzati trojan. È lo stesso Facebook che permette di "recuperare la password dimenticata" grazie all'aiuto di tre amici. Nulla impedisce di inserire l'account di un altro però, con tanto di false amicizie.

Così si ottengono mail e password, e le si possono cambiare. A quel punto si è entrati  nell'account bersaglio, e lo si può usare a piacimento. Per non parlare del fatto che una volta ottenuta la password probabilmente si può accedere anche alla posta elettronica e altri servizi.

"Le persone hanno semplicemente ignorato il pericolo insito nell'aggiungere un contatto senza controllare che sia autentico. I social network possono essere fantastici, ma le persone fanno errori. La privacy è una questione di responsabilità sociale", ha dichiarato Neto in un'intervista a un giornale brasiliano.

Una volta cambiata la password, recuperare un account rubato è molto difficile

I rappresentanti di Facebook si sono limitati a risposte di circostanza. "L'azione di Neto viola le norme del social network, e tutti gli utenti dovrebbero segnalare account sospetti, che saranno controllati con attenzione". Ne siamo certi, ma dopotutto il problema qui non è di Facebook; non c'è sviluppatore o esperto di sicurezza che possa fermare il social engineering, perché le "vulnerabilità" che sfrutta non è nelle macchine, ma in noi stessi.

Un messaggio falso in un minuto

Si potrebbe pensare che la tecnica descritta da Neto sia un'operazione complicata, e che la metterà in pratica solo chi ha un interesse specifico nel colpire una certa persona. Può darsi, ma cosa dire di quanto ha scoperto lo spagnolo Alfredo Arias, noto come @minipunk? Assumere l'identità di qualcun altro è un gioco da ragazzi, da quando tutti gli iscritti hanno un indirizzo @facebook.com.

L'indirizzo del destinatario è quindi noto. Così come lo è recuperare la vera email di un suo amico, spesso visibile in un profilo. "È davvero piuttosto semplice. Creo un formulario (qui un esempio) web (mittente, destinatario, messaggio) ed è fatto. Il nostro bersaglio riceve un messaggio personale legittimo su Facebook. A volte un piccolo triangolo giallo ci avvisa che "non è possibile verificare l'identità", ma riguarda gran parte degli account e nessuno ci fa caso. "Tra l'altro l'avviso non è visibile sul cellulare", aggiunge MiniPunk.

Basta un po' di buona volontà

Basta quindi confezionare un messaggio credibile e indurre la nostra vittima a cliccare su un sito web, o a darci qualche informazione sensibile. Oppure si potrebbero mandare messaggi in massa, magari per una campagna politica, o per colpire l'immagine di qualcuno ed etichettarlo come spammer. L'unico limite è la fantasia.  

A onor di cronaca, anche noi ci abbiamo provato, con due diversi servizi online. Non ha funzionato, ma in teoria sembra del tutto credibile. Forse abbiamo scelto i servizi sbagliati per mandare mail anonime via web.

Eccedere di fiducia online è pericoloso? Sì un po', non lo si può negare. Tutto quello che facciamo presuppone dei rischi, anche se non c'è di mezzo un computer. Chi cucina rischia come minimo di scottarsi, chi ama i videogiochi rischia di isolarsi socialmente, chi legge molto può danneggiarsi la vista. La lista potrebbe allungarsi molto. E chi si fida troppo del prossimo rischia di prendere qualche fregatura, anche molto brutta.

Reagire con eccesso e finire nell'altro estremo però è anche peggio: guardare agli altri come potenziali pericoli ignoti significa vivere nella paura e, per restare in ambito iberico, vivir con miedo es vivir a media (vivere nella paura è vivere a metà). A voi la scelta.

Continua a pagina 2
AREE TEMATICHE
Vuoi ricevere aggiornamenti su #E-Gov?
Iscriviti alla newsletter!