Facebook sei spiato

Un semplice smanettone può bucare il tuo profilo. Ti facciamo vedere quanto è facile

Arrivare alla scoperta di qualsiasi password è ormai quasi un gioco da ragazzi, anche per il pirata alle prime armi. Oggi infatti sono sufficienti pochi secondi per mettere a repentaglio la sicurezza di ogni utente connesso a Internet. E per farlo, basta anche uno smartphone Android. Grazie ad alcune applicazioni sviluppate per questa piattaforma, come ad esempio FaceSniff, il pirata è in grado di loggarsi con identità altrui su Facebook come se avesse i veri username e password. Usare Facesniff è semplice e ciò deve far riflettere sulla poca sicurezza applicata dagli stessi fornitori di servizi on-line. Basterebbe, infatti, evitare di rilasciare cookie per garantire quella poca privacy in più spesso essenziale a tutti gli ignari internauti.

Accessi non autorizzati

Un’altra tecnica utilizzata per rubare i dati personali altrui prende il nome di Session hijacking e consiste nel dirottare i cookie rilasciati dai siti verso altri indirizzi IP della stessa rete, consentendo un'autenticazione multipla. Ciò avviene in ogni rete Wi-Fi, sia essa libera o crittografata da password di tipo WPA2. In poche parole, il pirata fa in modo che un utente connesso a Internet e che cerca di raggiungere un sito Web (ad esempio Facebook) in realtà ne visualizzi un altro, identico all’originale ma realizzato dal pirata stesso. Quando nome utente e password vengono inseriti, il gioco è fatto: tramite e-mail o via FTP, il pirata riceve i caratteri digitati! Più semplicemente, però, un eventuale malintenzionato può adottare la pratica del social engineering e inviare una serie di e-mail cercando di convincere chi legge a cliccare sul link riportato, facendogli credere di trovarsi all'interno del vero sito Web, mentre in realtà si tratta di quello fasullo. Analizziamo, quindi, quali sono i passi che compie il pirata per creare la finta home page di un sito come Facebook e raccogliere i dati personali di tutte le sue ignare vittime.

Attacco al social network

Basta una semplice applicazione Android per entrare negli account degli altri utenti. L’attacco avviene sfruttando una rete Wi-Fi ed è più semplice di quanto si possa pensare! Diamo uno sguardo alla procedura.

  • Pulizia nel browser - Se il pirata accede al proprio account w Facebook anche dal telefonino, avvia il browser integrato nel suo smartphone Android e si sposta nel menu Impostazioni. Da qui, ripulisce la Cronologia di navigazione, Cancella i cookie e anche tutti i dati memorizzati in cache.
  • FaceSniff in azione - II pirata si sposta ora sul PC e cerca sul Web il pacchetto FaceNiff-1.9.4-Ripper-Release.apk. Lo trasferisce sullo smartphone e procede alla sua installazione. A questo punto, si connette ad una rete Wi-Fi ed avvia FaceSniff per tappare poi sul grande pulsante rosso.
  • Obiettivo raggiunto - La ricerca di una potenziale vittima ha inizio: se qualche altro utente connesso alla stessa rete senza fili è connesso a Facebook, apparirà nella lista dopo soli pochi secondi. Al pirata basta tappare su uno dei nomi visualizzati per loggarsi con i dati dell’ignaro utente.

Un clone davvero perfetto

Ecco come il pirata informatico crea una home page fasulla di Facebook e, sfruttando tecniche di ingegneria sociale, riesce a raccogliere i dati personali di accesso al social network delle sue prede!

  • Tutto il necessario - II pirata informatico si collega alla pagina http://google/LQM2D ed effettua il download di una falsa home page di Facebook già pronta all’uso. Al termine del download estrae il contenuto dell’archivio compresso in formato ZIP sul Desktop del suo computer.
  • Tutto in un file - II pirata accede alla directory nel-J la quale ha scompattato l’archivio e apre il file post.php con un editor di testo non formattato (ad esempio Blocco Note) per assegnare un nome al file nel quale verranno memorizzati i dati delle vittime (nel caso in figura dati .tot).
  • Home page fasulla - Al pirata non resta quindi che carica-J re i tre file scompattati nel suo spazio Web (ad esempio uno gratuito con Altervista) e inviare un'e-mail con il link da raggiungere: la pagina visualizzata, però, non è quella vera di Facebook, quindi occhio all’indirizzo mostrato nel browser!