Security: sono iniziate le vendite dei profili Facebook, pronti al Phishing?

Fino ad oggi non ho mai scritto nulla in relazione a Facebook, ma visto che è necessario allargare la visione dei fatti accaduti alle conseguenze degli stessi, ho deciso di aprire una nuova sezione del sito sulla Security, sulle basi informative della Sicurezza Informatica o CyberSecurity – that’s more cool 😉

Quando mi trovo a parlare di sicurezza informatica, di privacy, di scelta delle password, di gestione degli account, dei Social Network… in altre parole di come “si vive su internet” mi ritrovo molto spesso (troppo spesso) a sentirmi rispondere che “tanto io non ho nulla da nascondere”, che “si vero che ci sono, ma tanto non scrivo mai, leggo e basta”, che “tanto io non ho la carta di credito”, che “a chi vuoi che io interessi? Gli hacker se vengono da me non trovano nulla” ecc… ecc..

Sono iniziate le vendite dei profili Facebook rubati nell’ultimo attacco informatico.

I prezzi? Partono da qualche dollaro fino ad arrivare a decine, in base ai dettagli disponibili (aka informazioni).

Il primo passo è la vendita sul #Darkweb (wiki) mentre il secondo saranno gli attacci di #Phishing (wiki).

Nei prossimi mesi subiremo (o meglio subiranno le circa 50 milioni di persone che hanno avuto il proprio profilo Facebook violato in questo databreach (agendadigitale.eu) massicci attacchi di:

  • Phishing con malware per riscatto, i Ransomware (wiki) (ransomware.it)
  • Phishing con malware per rubare gli accessi ai conti correnti online, i Mobile Banking Trojan (cybersecurity360)
  • Phishing con malware per trasformare i dispositivi in generatori di cryptocurrency, i Crypto Mining (tehcformthenet)

Dopo il caos generato dalla vicenda Cambridge Analytica, Zuckerberg ha confermato il recente attacco che ha interessato circa 50 milioni di utenti, cinque milioni dei quali sarebbero europei.

Cosa è successo esattamente? In pratica, sfruttando una falla nella sicurezza, sono stati violati i profili di milioni di utenti, che hanno dovuto ripetere il login per utilizzare nuovamente il social network poichè come “rimedio” al databreach, Facebook ha annullato la validità degli access token .

L’attacco ha colpito gli access token

Gli hacker che hanno colpito i profili degli utenti hanno approfittato delle falle di sicurezza in alcune funzionalità di Facebook, come i video di auguri di buon compleanno, per impossessarsi degli access token di decine di milioni di utenti. Cos’è esattamente un access token? In pratica si tratta di quella modalità di registrazione che permette un accesso più rapido ai siti con registrazione, grazie ai dati inseriti sul proprio profilo Facebook o Google. L’access token serve proprio a registrarsi su un sito abbreviando il processo di inserimento dei dati, senza dover pensare a nuove combinazioni di nome utente e password.

Come si è svolto l’ultimo attacco?

L’attacco ha sfruttato tre vulnerabilità diverse di due funzionalità di Facebook: quella che permette di visualizzare la propria pagina come se fossimo un utente diverso (che serve per vedere come gli altri vedono la nostra pagina facebook) e quella che consente di inviare video auguri di compleanno agli amici. Gli attaccanti hanno scoperto alcuni bug che hanno loro consentito di generare l’access token degli utenti a cui veniva inviato il video di auguri. Hanno poi creato una batteria di falsi profili facebook, che oggi si possono generare facilmente in maniera automatica, ciascuno dei quali ha richiesto migliaia di amicizie di persone reali. In seguito hanno lanciato un altro strumento automatico con il quale hanno attaccato le persone che avevano accettato l’amicizia di uno di quei falsi utenti.

Quali sono le particolarità rispetto ad altri casi analoghi di cui abbiamo letto di recente?

Il fatto che sia stato attaccato l’access token. Per via della pervasività di Facebook, le vittime dell’attacco non sono state colpite solo nel loro profilo Facebook, cosa già di per sé grave, ma in tutti gli altri siti presso i quali gli utenti si sono registrati usando la funzionalità di cui stiamo parlando. Dunque gli attaccanti potenzialmente hanno avuto accesso ai profili di questi utenti anche su migliaia di altri siti, come Spotify, Airbnb, Forum e Blog ecc.. ecc… potendo usarli al posto della vittima, pubblicando foto, recuperando informazioni, cambiando la password, ecc… ecc… (in altre parole, un macello!)

Quali sono le motivazioni dietro a un attacco del genere?

Le motivazioni sono economiche: in primis la vendita di informazioni (si pensi che oggi un singolo record sanitario completo di un americano – che include anche dati sul suo conto corrente e altre informazioni sensibili – sul mercato nero vale 300$), ma anche phishing più mirati, spamming direttamente sugli account degli utenti e altro ancora. Escluderei invece motivazioni quali spionaggio o terrorismo, che sono altri tipi di attacchi esistenti ma che si svolgono con modalità diverse.
Una cosa che ha colpito, è che queste vulnerabilità con ogni probabilità sono presenti dal 2017. Cinquanta milioni di utenti, con il metodo che descritto prima, non li attacchi in un giorno e nemmeno in una settimana, probabilmente ci vogliono mesi. Come ha fatto Facebook a non accorgersene prima. Se siamo venuti a sapere di questo attacco è anche per merito del GDPR, il nuovo regolamento europeo sulla privacy, che obbliga le aziende a comunicare quanto accaduto.

Che insegnamenti possiamo trarre da questa vicenda?

I punti principali sono due: uno è che più funzionalità inserisci all’interno di una piattaforma più ne aumenti la complessità e la probabilità di avere bug di sistema. Questo attacco non fa che sottolineare le mancanze a livello di sicurezza preventiva diffuse in tutta la società (oggi quasi tutti i siti internet hanno almeno una vulnerabilità nota, sfruttabile da chiunque ne abbia capacità e motivazioni). L’altro punto è che la più grande banca dati mondiale di informazioni sui privati e in mano a un privato: non è più una questione solo di sicurezza informatica ma è una anomalia di sistema. Ormai siamo tutti interconnessi.

Qualche consiglio pratico?

Relativamente a questo caso specifico:

  • Non utilizzare mai la “facilitazione” di registrarsi (o fare login) con i tools “Accedi con Facebook” (e neppure di google, twitter …)
  • Quando ci si registra ad un sito, usare sempre una password robusta e sempre diversa dalle precedenti utilizzate
  • Mi rendo conto che potrebbe sembrare complicato MA NON LO E’, usate il più possibile email diverse per registrarvi (creare nuove e dedicate email per ogni servizio)

In linea generale:

  • Attivare sempre una protezione a due fattori (cioè l’uso di un fattore di protezione ulteriore oltre alla password)
  • Cambiare le password frequentemente
  • Imparare a trovare e leggere gli header delle email ricevute, per capire se il mittente è veramente colui che dice di essere

(approfondimento su questa email: https://www.ransomware.it/ricatto-bitcoin-hack-mail-video-porno/)

  • Se nella mail ci sono dei link o dei bottoni da “da cliccare”, attendete un istante prima di farlo. Posizionatevi sopra con “la freccetta” del mouse, e fate attenzione al reale url che appare. Se l’url vi “appare sospetto” non cliccatelo, fatevi qualche domanda oppure chiedete un parere a qualcuno di più esperto di voi. Non abbiate mai vergogna a chiedere.
  • Se nella mail ci sono allegati da aprire, fate sempre attenzione. Stavate aspettando veramente quella mail e quell’allegato? Il mittente è realmente colui che dice di essere (imparate a trovare e leggere gli header delle email ricevute nel programma di posta che state usando).

 

Stay tuned 😉

 

 

 

 

Simone Tomiozzo

Since 2013 I have been studying, operating and developing in crypto values and Blockchain sector, as well as with anything able to improve the system’s rules.

BTC association: Blockchain Technology Cryptocurrency

Condividi l'articolo con:

Simone Tomiozzo

Since 2013 I have been studying, operating and developing in crypto values and Blockchain sector, as well as with anything able to improve the system’s rules. BTC association: Blockchain Technology Cryptocurrency

Simone Tomiozzo