Nuovo tentativo di phishing su Facebook attraverso iframe


Mettiamo in guardia gli utenti di Facebook da un nuovo e pericoloso attacco di phishing, nel quale gli iscritti al social network ricevono un messaggio che sembra originato da Facebook Security. In realtà si tratta di un’imitazione ben fatta. Ne avevamo già parlato qui. Non si tratta infatti del primo tentativo di phishing attraverso mittenti apparentemente leciti e pagine interne al social network che, ad un occhio meno esperto, presentano un URL affidabile. Si tratta d'una applicazione il cui URL comincia con www.apps.facebook.com/


Chi riceve questo messaggio viene inviato a cliccare su un link per poi inserire il proprio indirizzo e-mail e password di accesso, al fine di evitare l’apparente disattivazione del proprio account. La ragione che viene data è che altri utenti hanno segnalato questo account come responsabile di comportamenti impropri. Quando si osserva attentamente il mittente che crediamo essere Facebook Security è, in realtà, scritto in maniera leggermente differente come "Facèbook Sècurity".

Questo modo di scrivere decisamente elaborato e che, a prima vista, rischia di passare inosservato, consente al messaggio di essere comunque inviato, nonostante il fatto che l’originale Facebook Security sia naturalmente una funzione riservata allo stesso Facebook. Con questo approccio i criminali online si guadagnano surrettiziamente la fiducia degli utenti mascherandosi dietro una parvenza di ufficialità.


Oltre a ciò risulta estremamente difficile per l’utente notare che si tratta solo di un’imitazione realizzata con la semplice ma subdola modifica di qualche lettera nel nome del mittente. Se clicchiamo sul link, veniamo riportati ad un'applicazione che ripropone la classica pagina che ci avverte che il nostro account è stato disabilitato e che dobbiamo introdurre i nostri i dati di login per confermarlo.


La pagina in realtà risiede su un altro server ed è caricata su Facebook attraverso un iframe. Dopo aver inserito i dati, ci viene confermato il nostro account e i dati di accesso saranno così in mano ai cybercriminali. Ci aspettiamo che ci sia già stato un elevato numero di persone vittima di questa forma di attacco che può essere tecnicamente definito, come già accennato in altre occasioni, come un “attacco omografico”.

Per omografo si intende una parola caratterizzata da un'ortografia identica a quella di un'altra parola ma con un significato diverso. In ambito informatico, per attacco omografo si intende l'utilizzo di un indirizzo Web simile a uno noto ma che è stato in realtà alterato. Di seguito un frammento del codice Php nella pagina esterna a Facebook.


Il messaggio fà, infatti, riferimento ad un URL di Facebook valido. Inoltre, l’inserimento di URL validi di Facebook rende più difficile la protezione degli utenti attraverso soluzioni anti-spam e Web filtering che si basano sull’analisi dell’URL per classificare i contenuti. Entrambi questi attacchi rendono più difficile per l'utente l'individuazione del contenuto malevolo direttamente dalla e-mail. Il consiglio è sempre quello di diffidare dai messaggi ricevuti in posta (il social network non comunica attraverso mail, bensì con warning sulla home page) e quando inserite i vostri dati di accesso, verificate sempre che l'URL del sito sia http://facebook.com/ o http://it-it.facebook.com/ (in questo caso perchè in Italia).

Nessun commento:

Posta un commento