PandaLabs ha scoperto un vero e proprio traffico di account Facebook basato in Romania: i cybercriminali offrono l’accesso al 99% dei profili del social network al fine di inviare malware, spam o altri tipi di virus.

Gli account di Facebook sono sempre più a rischio hacker. È PandaLabs a lanciare l’allarme: alcuni cybercriminali ucraini offrono attualmente l’accesso al 99% dei profili del celebre social network ad un prezzo medio di 100 dollari l’uno.
Nel traffico di identità scoperto dalla società, il pagamento al gruppo di hacker avviene attraverso Western Union, che spedisce il denaro direttamente in Ucraina, anche se il portale in cui il gruppo pubblicizza la propria offerta è registrato a Mosca, in Russia.
Oltre ad offrire i dati della quasi totalità degli utenti Facebook, i criminali mettono in vendita anche account di personaggi pubblici e aziende.
I profili possono poi essere utilizzati per inviare malware, spam o altri tipi di minacce.

E’ stato scoperto un problema di sicurezza nel noto social network che consentiva a chiunque di diventare amministratore di una pagina.

Un problema tecnico presente sul sito Facebook.com, il noto portale di social network, ha permesso a un utente di diventare amministratore di diverse pagine senza avere nulla a che fare con i gruppi e i fan club interessati.

A scoprire la vulnerabilità, che potenzialmente avrebbe permesso a un malintenzionato di prendere possesso di pagine importanti e inviare messaggi agli ignari utenti, è stato Tom Krieglstein, fondatore dell’azienda Swift Kick che si occupa di tecnologie a Chicago, diventando per gioco amministratore di 17 pagine tra cui quella aziendale di Microsoft e delle compagnie aeree Southwest Airlines e American Airlines.

La possibilità di diventare amministratore della pagina di Star Wars, che contava oltre 825.000 fan, ha consentito a Krieglstein di inviare agli utenti iscritti un messaggio.

Dopo segnalazione, Facebook ha subito preso provvedimenti disattivando i privilegi all’utente e correggendo il bug che consentiva di diventare amministratori. Probabilmente questa vulnerabilità è legata al recente aggiornamento grafico, come ammette lo stesso Krieglstein, ma ciò che stupisce è la tempestività con cui Facebook abbia rimesso tutto a posto in poche ore.

Una nuova applicazione maligna minaccia gli utenti di Facebook. Ne ha dato notizia Sophos, avvisando gli iscritti al popolare sito della presenza di questo messaggio fasullo che sfrutta l’interesse delle persone per le modifiche apportate alle condizioni d’uso di Facebook. Battezzata “Facebook — closing down!!!“, questa applicazione invia messaggi fasulli a tutti i contatti presenti nell’elenco di un utente, esortando i destinatari a installarla e consentendo ai malintenzionati di accedere ai profili e ai dati personali delle vittime. Non solo, involontariamente inoltrano il messaggio fasullo a tutti i loro contatti.

Si tratta del secondo problema di sicurezza in una settimana. In precedenza, gli utenti si erano visti recapitare messaggi fasulli, inviati da un’altra applicazione maligna chiamata “Error Check System“, che li informavano di errori nella visualizzazione dei loro profili e li dirottavano su siti web malevoli non appena cliccavano sul link contenuto nel messaggio per ottenere maggiori informazioni.

“Facebook consente a chiunque di scrivere un’applicazione – ha dichiarato Walter Narisoni di Sophos Italia -, ma non la controlla prima di pubblicarla, ciò favorisce la proliferazione di malware per creare database per rubare l’identità degli ignari utenti”. L’applicazione è già stata rimossa, ma altre applicazioni simili starebbero circolando sul popolare sito di social networking con il nome di “My account” e “Reported For Rule Breaking”.

Ulteriori informazioni sull’applicazione “Facebook — closing down!!!” sono disponibili nel blog di Graham Cluley. Inoltre, Sophos ha realizzato una serie di best practice per l’utilizzo di Facebook che offrono consigli su come proteggere il proprio profilo.

Kaspersky Lab preconizza una recrudescenza degli attacchi per tutto il 2009. Ma non saranno quasi più via e-mail.

Le attività dei cyber criminali sono date in aumento anche nel 2009. Lo afferma in una nota Magnus Kalkuhl, membro di Kaspersky Lab Global Research & Analysis Team, che rileva come le minacce non siano più diffuse solo attraverso l’e-mail, i guestbook e i messaggi dei forum, ma anche attraverso i social network.

Già nei primi mesi dello scorso anno gli utenti ne hanno avuto la prova con Net-Worm.Win32.Koobface, un virus progettato per attaccare gli utenti di MySpace e Facebook attraverso i loro contatti.

Secondo il tecnico, nel 2009 il metodo tradizionale di diffondere codici maligni via e-mail sparirà quasi del tutto. Comunque la maggior parte delle minacce continueranno ad essere diffuse attraverso Internet.

Riguardo gli smartphone, per ora le minacce paiono limitate, ma entro quest’anno non sarà più così. Complice la loro diffusione, iPhone e similari saranno parte delle botnet, proprio come accade per i computer. Il malware dei telefoni cellulari nel 2009 sarà “accettabile” sia in termini di portata che di volume, ma entro il 2010 la situazione si farà più complessa.

Per farsi un’idea, va rilevato che all’inizio dello scorso anno Kaspersky Lab usava all’incirca 500mila firme per rilevare malware. A partire dalle prossime settimane verranno invece utilizzate oltre un milione e 500mila firme, il che significa che il numero delle minacce è triplicato in meno di un anno. Una tendenza che continuerà anche nel 2009.

Oltre al rilevamento basato sulla firma, quello basato sul comportamento e le soluzioni in tempo reale sono ormai soluzioni centrali nella lotta alla cyber criminalità.

Le nuove tecnologie come l’Host Intrusion Prevention System (Hips), disponibili da quest’anno, saranno ottimizzate per combattere quasi completamente malware sconosciuti senza l’uso di firme.

Facebook, il sito di social networking che in questo momento risulta tra i più cliccati del Web, mostra le sue debolezze. Così per qualsiasi altro account in Rete, truffe, virus, phishing e hacking potrebbero infatti colpire anche il vostro su Facebook (e di conseguenza il vostro computer) mettendo a rischio l’intera rete aziendale se ci si connette sul lavoro.

Il più recente di questi attacchi è il nuovo worm che ha percorso la rete negli ultimi tempi, nome in codice Koobface, rischiando di intaccare le misure di sicurezza adottate e mettere a rischio i messaggi e gli utenti del network.

In realtà le prospettive potrebbero essere ancora più nefaste, soprattutto se ad essere infettati sono i pc di una rete aziendale. Non solo sarebbero infatti a rischio solo i messaggi degli utenti, ma anche i file presenti all’interno dell’hard disk e le informazioni in esso contenute. Stiamo parlando di informazioni aziendali e potenzialmente dati sensibili come numeri di carte di credito, coordinate bancarie e simili.

Ma questa è solo l’ultima delle vulnerabilità segnalate a cui sono esposti gli utenti del sito di networking considerato il fenomeno del momento, anche se forse meno pericolosi. Vediamo una panoramica delle vulnerabilità del sito di networking fenomeno del momento.

La cartolina Spam. Il meccanismo di Facebook prevede che un utente possa inviare un messaggio o postare sulla bacheca personale di un amico. Bisogna però prestare attenzione ai messaggi che includono un link per poter aprire una cartolina. Si consiglia di non clickarci sopra, perchè potrebbe trattarsi di un virus che rischia di compremettere il proprio account Facebook o peggio il proprio pc. Se si decidesse di clickare su uno di questi link, sarebbe opportuno eseguire una scansione con il proprio antivirus e reimpostare immediatamente la password Facebook.

I Nigerian o 419 Scam. Può capitare di ricevere messaggi da amici o anche da sconosciuti che affermano di essere bloccati da qualche parte e chiedono denaro. Sembra scontato dire di diffidare di questo tipo di messaggi e che si tratta chiaramente di una truffa, forse la più comune usato su Internet e proprio per questo la più facile da evitare.

Le false email. È capitato a diversi utenti Facebook di ricevere falsi messaggi di posta elettronica che sembrano provenire da Facebook contenenti false notifiche di richieste di amicizia e vari tipi di messaggi fraudolenti con link a siti di phishing o allegati con i virus. In questo secondo caso è facile riconoscere la mail sospetta, basta ricordare che le notifiche di Facebook non contengono mai allegati.

Le false catene. Infine, alcuni utenti hanno ricevuto un messaggio in cui si sosteneva che Facebook stesse diventando sovrappopolato e quindi alcuni conti sarebbero stati cancellati. Inutile dire che si tratta di un messaggio falso che quindi può essere tranquillamente ignorato e cancellato.

Ecco quindi un monito per tutti quelli che utilizzano indiscriminatamente il social networking (e alle aziende che permettano che questo avvenga, senza utilizzare alcun filtro), accettando tutti i messaggi e tutte le richieste di amicizia che arrivano da persone sconosciute. Dietro ad un fantomatico amico o compagno di scuola potrebbe infatti nascondersi un malintenzionato che non aspetta altro che carpire qualche informazione riservata.

Chiaramente Facebook non sta a guardare (d’altronde vista la grande popolarità del network non può giocarsi la faccia al primo virus) e mette a disposizione un link dal quale è possibile trovare tutti i consigli per proteggersi da questa minaccia e in generale per non incappare rischi in analoghi. È da sottolineare che questo problema non si riferisce al solo Facebook, ma anche ad altri siti di social networking, tra cui il rivale MySpace.

La diffusione dei malware è iniziata attraverso i messaggi di posta elettronica, per poi approdare ai siti web infetti sui quali dirottare i meno esperti; ora la nuova frontiera sembra essere costituita dai portali di social networking, Facebook in particolare, visto il suo successo; luoghi ove è più facile sentirsi al sicuro e abbassare così la guardia.

È Norman, azienda leader nel campo della sicurezza, a lanciare l’allarme: Facebook sta lentamente diventando il veicolo d’elezione per diffondere codice malevolo, permettendo ai cybercriminali di diffondere email a tutti gli amici dei contatti il cui account è stato ottenuto con l’inganno, attraverso, ad esempio, tecniche di phishing.

La tecnica di diffusione dei malware attraverso portali di social networking, sfrutta il clima di tranquillità e amicizia che tale tipologia di siti crea, ove qualunque email mandata da un utente della comunità sembra essere “amica”, facendo di conseguenza abbassare la guardia per quanto riguarda potenziali pericoli in essa contenuti.

I messaggi, contengono spesso link in grado di condurre a contenuti altamente allettanti, ma che in realtà si dimostrano dei veri e propri cavalli di troia, il cui unico scopo è installare nel computer degli utenti più inesperti codice malevolo. La tecnica più diffusa consiste tutt’ora nel far scaricare un falso codec necessario a visualizzare un video.

Secondo Walter Brambilla di Norman, «l’istinto di prestare attenzione ad ogni email sospetta che riceviamo non scatta automaticamente quando si usano strumenti quali MSN o Facebook. E questo si traduce in maggiore vulnerabilità e inconscia predisposizione ai raggiri sempre in agguato».

Unica soluzione al problema, «imparare a distinguere meglio i messaggi legittimi da quelli illegittimi, indipendentemente dal media utilizzato per diffonderlo e visualizzarlo».

Succede da qualche mese, ma la notizia è stata diffusa solo adesso. I cyber-criminali possono usare diverse strategie per combinare più servizi di Internet allo scopo di far credere alle vittime di navigare su un sito affidabile, che in realtà è invece l’inizio di un’infezione pericolosa.

Tutto parte da Facebook. L’utente registrato al social network riceve un messaggio privato da parte di un amico, che lo invita a cliccare su un link per vedere un video che lo interessa. La vittima, non rendendosi conto di aver ricevuto un falso messaggio, non ha dubbi sulla veridicità del link, ma anche se li avesse (e qui sta la novità) si renderebbe conto di stare per cliccare su un link del servizio Shared Items di Google.

In pratica, viene sfruttato il portale di Google che permette di condividere con gli amici e i conoscenti notizie e informazioni di cui si è a conoscenza per dare l’impressione di stare per visitare un link sicuro, in cui si troverà il video.

In questo modo, la vittima non ha più titubanze e visiterà il sito pensando che è tutto sicuro.

A quanto pare, i criminali hanno registrato diversi account anche sul servizio di Google per rendere la truffa ancora meno evidente. Il video in questione ovviamente non è reale, ma richiede il download di un particolare codec, necessario per la riproduzione del contenuto. Il codec naturalmente non esiste; si tratta in realtà di un trojan pericoloso.

Fortinet, pioniere e leader nella fornitura di soluzioni UTM (unified threat management), ha scoperto un worm che ha come obiettivo gli utenti Facebook sfruttando Google Reader (un’applicazione che permette agli utenti di condividere le notizie più interessanti con la propria rete sociale), dando così agli utenti-vittime la sensazione che il contenuto sia ospitato in Google e che quindi sia sicuro e inducendoli a scaricare un codec. In che modo? Un video è distribuito attraverso il worm di Facebook e attraverso una strategia di social engineering si è reindirizzati da Facebook a Google Reader.

Fortinet ha informato sia Facebook che Google e ha diffuso l’advisory in allegato e disponibile al seguente indirizzo: http://fortiguardcenter.com/advisory/FGA-2008-26.html

Guillaume Lovet, Senior Manager at Fortinet’s FortiGuard Global Security Research Team, segnala le 5 successive mosse per non diventare vittime di questo attacco dagli effetti devastanti:
1. Fare attenzione ai messaggi contenenti link. Dovrebbero far scattare subito un campanello d’allarme.
2. In tal caso, fermarsi un momento e chiedersi se il messaggio che si sta leggendo proviene davvero da chi dichiarato. È molto semplice capire se si conosce la persona perché tutti hanno una propria “voce” digitale, uno stile di scrittura che nessun worm è in grado di imitare. Per ora.
3. Molte tattiche di ingegneria sociale usate dai siti di social networking cercano di invogliare la vittima a guardare un filmato. Ricordare sempre che i video online hanno un formato molto comune (es. flash) per cui è possibile vederli su youtube o dailymotion senza bisogno di plug-in o codec aggiuntivi. Molto importante: i codec che si presentano sotto forma di file di set-up eseguibili sono, in un contesto del genere, dei Trojan.
4. Non navigare in rete con un sistema non aggiornato dal punto di vista della sicurezza. Spesso questi end-point dannosi contengono exploit del browser che spingono letteralmente il Trojan sul sistema dell’utente senza che questo se ne accorga né interagisca, cosa che non succede se il browser è aggiornato. A questo scopo può essere utile alternare i browser, riducendo così la superficie degli exploit.
5. Se non si è riusciti a seguire i consigli precedenti o se il sito dannoso ha sfruttato una vulnerabilità senza patch del browser, gli strumenti antivirus possono essere la salvezza. Una combinazione di antivirus e filtro dei contenuti Web possono creare una protezione più efficace, come quando il sito dannoso è inserito in una blacklist del filtro web; l’antivirus potrebbe non essere in grado di far fallire l’attacco ma, vista la crescente raffinatezza delle minacce, è sempre bene averli entrambi.

Era già apparso lo scorso luglio tra gli utenti Facebook, indirizzandoli verso pagine contenenti allettanti video che però non potevano essere visualizzati senza prima aver scaricato un falso codec (in realtà un vero e proprio trojan). Si trattava del worm Koobface, ora, secondo quanto rilevato da Fortinet, reincarnato in una nuova versione in grado di indirizzare le vittime verso pagine apparentemente facenti parte di Google Reader al cui interno è presente il tradizionale video tentatore. Mentre il motore di ricerca è al lavoro per risolvere il problema, i cybercriminali hanno iniziato ad attirare le vittime anche verso false pagine di Google Picasa.

Poiché Google Reader permette di condividere la notizie più interessanti con la comunità online, alcuni cybercriminali hanno registrato nuovi account Google Reader (manualmente, attraverso tecniche di phishing o violando i CHAPTCHA), allo scopo di diffondere link in grado di indirizzare le vittime verso siti malevoli, complice un frame particolarmente attraente presente all’interno del messaggio. In realtà, come è accaduto con Facebook, il filmato risulta impossibile da visualizzare a causa della mancanza del codec appropriato; l’invito a scaricare il codice necessario alla visualizzazione in realtà installa nel computer il trojan W32/Zlob.NKX!tr.dldr.

La scelta di utilizzare Google Reader come specchietto per le allodole nasce dal desiderio di trasmettere alla vittima la sensazione di accedere ad un sito sicuro, in quanto ospitato da un portale del calibro di Google. L’effetto sicurezza, combinato con l’idea che si tratti di un “messaggio amico”, offre una combinazione vincente per una massiccia diffusione del trojan. Fortinet avrebbe già notificato il problema al motore di ricerca, il quale sarebbe al lavoro sulla soluzione: «stiamo analizzando i resoconti che abbiamo ricevuto» ha dichiarato un portavoce di Google, «e siamo impegnati nel chiudere ogni account che ha violato le nostre linee guida».