Le minacce del social networking

Capire le minacce alla sicurezza di Facebook

1 | 2 | 3 Avanti >

Facebook: abbondano self-XSS, clickjacking e sondaggi truffa

Facebook ha talmente tanti utenti da essere un facile bersaglio per le truffe; è anche in grado di rendere pubbliche le vostre informazioni personali ben oltre la vostra cerchia di amici.

Gli utenti devono tener presente che i ricavi di Facebook provengono dagli inserzionisti, non dagli utenti. Siccome gli inserzionisti desiderano diffondere il proprio messaggio a quanta più gente possibile, Facebook condivide le vostre informazioni con chiunque, e non solamente con i vostri "amici". E ultimamente le tecniche di riconoscimento facciale di Facebook suggeriscono automaticamente ai vostri amici di taggarvi nelle foto, a meno che voi non disattiviate questa funzione.

Le truffe su Facebook includono cross-site scripting (XSS), clickjacking, sondaggi truffa e furto di identità. Al momento, uno dei metodi di attacco preferiti dagli scammer è noto come cross-site scripting, o "Self-XSS". I messaggi di Facebook come Perché sei taggato in questo video? ed il pulsante Non mi piace di Facebook vi reindirizzano su una pagina che cerca con l'inganno di farvi tagliare ed incollare un codice di JavaScript malevolo nella barra degli indirizzi del vostro browser. Gli attacchi di Self-XSS possono anche eseguire JavaScript invisibile o offuscato sul vostro computer, permettendo l'installazione di malware a vostra insaputa.

Le truffe di Facebook sfruttano anche l'interesse degli utenti per notizie, vacanze ed altri eventi di rilievo, inducendoli a rivelare le proprie informazioni personali. I post di Facebook come "Create un nome da ospite del Royal Wedding" e "Per la Festa della Mamma" sembrano relativamente innocui, fino a quando si scopre che informazioni come nomi e date di nascita dei propri figli, nome dei propri animali domestici e parte del proprio indirizzo risiedono ora permanentemente in Internet. Siccome queste informazioni vengono spesso utilizzate per password o domande di recupero delle password, ciò può portare al furto d'identità.

Altri attacchi rivolti agli utenti di Facebook includono il "clickjacking" o "likejacking" (furto del "mi piace"), noto anche come "reindirizzamento dell'interfaccia utente". Questa tecnica sfrutta l'inganno per indurre gli utenti a rivelare informazioni riservate, oppure assume il controllo del loro computer quando cliccano su pagine Web dall'aspetto apparentemente innocuo. Il clickjacking assume le sembianze di un codice o di uno script incorporato, che può essere eseguito all'insaputa dell'utente. Uno dei suoi travestimenti è un pulsante che sembra svolgere una funzione diversa. Cliccando sul pulsante si avvia un attacco diretto ai propri contatti, tramite aggiornamenti di stato che diffondono la truffa. Gli impostori cercano di stuzzicare la vostra curiosità, con messaggi come "Nascita di un bambino, effetti incredibili" e "I più divertenti spot sui preservativi — LOL". Queste truffe si servono entrambe del clickjacking per reindirizzare gli utenti su una pagina Web che li induce a guardare un video. Visualizzare il video equivale a cliccare su "Mi piace"; il link viene condiviso con i vostri amici e si diffonde quindi in maniera virale su Facebook.

Il clickjacking è anche associato ai "sondaggi truffa", che si servono dell'inganno per persuadere gli utenti ad installare un'applicazione da un link contenente spam. I criminali informatici sfruttano tematiche d'attualità, come la truffa relativa al video di Osama bin Laden, che reindirizza gli utenti su una pagina di YouTube fasulla, allo scopo di convincerli a partecipare ad un sondaggio. Gli impostori ottengono una provvigione per ciascuna persona che lo completa. Prendendo parte al sondaggio la truffa si diffonde in maniera virale fra i vostri amici di Facebook.

In teoria, le nuove funzionalità di sicurezza di Facebook dovrebbero fornire protezione dalle truffe e dallo spam; purtroppo però sono più che altro inefficaci. Fino a pochi anni fa, i Self-XSS, il clickjacking ed i sondaggi truffa non esistevano; ora invece compaiono quotidianamente su Facebook e su altri social network.

La nostra recente indagine sul social networking ha chiesto agli utenti, fra le altre domande, quale ritenessero fosse il social network che presenta il più elevato rischio per la sicurezza. Facebook ha nettamente dominato, con l'81% dei voti: un aumento significativo rispetto all'anno precedente, quando era il 60% a ritenere che Facebook fosse il più rischioso. Quest'anno sia Twitter che MySpace hanno ricevuto ciascuno l'8% dei voti, mentre LinkedIn solo il 3%.

scarica Prova gratuita dei prodotti Sophos
Scarica subito

I commenti dei clienti

"Sophos ci ha permesso di risparmiare tempo, risorse e denaro"
Sam Ghelfi, Raymond James

Leggi oltre

Premi e riconoscimenti

Awards