Facebook, il sito di social networking che in questo momento risulta tra i più cliccati del Web, mostra le sue debolezze. Così per qualsiasi altro account in Rete, truffe, virus, phishing e hacking potrebbero infatti colpire anche il vostro su Facebook (e di conseguenza il vostro computer) mettendo a rischio l’intera rete aziendale se ci si connette sul lavoro.

Il più recente di questi attacchi è il nuovo worm che ha percorso la rete negli ultimi tempi, nome in codice Koobface, rischiando di intaccare le misure di sicurezza adottate e mettere a rischio i messaggi e gli utenti del network.

In realtà le prospettive potrebbero essere ancora più nefaste, soprattutto se ad essere infettati sono i pc di una rete aziendale. Non solo sarebbero infatti a rischio solo i messaggi degli utenti, ma anche i file presenti all’interno dell’hard disk e le informazioni in esso contenute. Stiamo parlando di informazioni aziendali e potenzialmente dati sensibili come numeri di carte di credito, coordinate bancarie e simili.

Ma questa è solo l’ultima delle vulnerabilità segnalate a cui sono esposti gli utenti del sito di networking considerato il fenomeno del momento, anche se forse meno pericolosi. Vediamo una panoramica delle vulnerabilità del sito di networking fenomeno del momento.

La cartolina Spam. Il meccanismo di Facebook prevede che un utente possa inviare un messaggio o postare sulla bacheca personale di un amico. Bisogna però prestare attenzione ai messaggi che includono un link per poter aprire una cartolina. Si consiglia di non clickarci sopra, perchè potrebbe trattarsi di un virus che rischia di compremettere il proprio account Facebook o peggio il proprio pc. Se si decidesse di clickare su uno di questi link, sarebbe opportuno eseguire una scansione con il proprio antivirus e reimpostare immediatamente la password Facebook.

I Nigerian o 419 Scam. Può capitare di ricevere messaggi da amici o anche da sconosciuti che affermano di essere bloccati da qualche parte e chiedono denaro. Sembra scontato dire di diffidare di questo tipo di messaggi e che si tratta chiaramente di una truffa, forse la più comune usato su Internet e proprio per questo la più facile da evitare.

Le false email. È capitato a diversi utenti Facebook di ricevere falsi messaggi di posta elettronica che sembrano provenire da Facebook contenenti false notifiche di richieste di amicizia e vari tipi di messaggi fraudolenti con link a siti di phishing o allegati con i virus. In questo secondo caso è facile riconoscere la mail sospetta, basta ricordare che le notifiche di Facebook non contengono mai allegati.

Le false catene. Infine, alcuni utenti hanno ricevuto un messaggio in cui si sosteneva che Facebook stesse diventando sovrappopolato e quindi alcuni conti sarebbero stati cancellati. Inutile dire che si tratta di un messaggio falso che quindi può essere tranquillamente ignorato e cancellato.

Ecco quindi un monito per tutti quelli che utilizzano indiscriminatamente il social networking (e alle aziende che permettano che questo avvenga, senza utilizzare alcun filtro), accettando tutti i messaggi e tutte le richieste di amicizia che arrivano da persone sconosciute. Dietro ad un fantomatico amico o compagno di scuola potrebbe infatti nascondersi un malintenzionato che non aspetta altro che carpire qualche informazione riservata.

Chiaramente Facebook non sta a guardare (d’altronde vista la grande popolarità del network non può giocarsi la faccia al primo virus) e mette a disposizione un link dal quale è possibile trovare tutti i consigli per proteggersi da questa minaccia e in generale per non incappare rischi in analoghi. È da sottolineare che questo problema non si riferisce al solo Facebook, ma anche ad altri siti di social networking, tra cui il rivale MySpace.

Panda Security lancia un allarme riguardo ad un worm, chiamato Boface.G, che colpisce gli utenti di Facebook e MySpace. Questo codice inserisce un post contenente un link collegato a un falso video di YouTube sul profilo o sul pannello dei contatti degli utenti colpiti. In alternativa, invia un messaggio privato a tutti gli amici, che include il link.

Quando si cercherà di visionare il video (che sembra arrivare da una persona conosciuta), l’utente verrà condotto su una pagina web nella quale sarà invitato a scaricare un aggiornamento di Flash Player per vedere il filmato. Se si procede con il download, una copia del worm si inserirà nel computer e tutti i contatti verranno attaccati. Secondo i laboratori, uno dei due siti sotto attacco ha già preso tutte le misure di sicurezza per difendere i propri utenti da questo malware.  Per maggiori informazioni si può visitare il blog di Panda Security.

Fortinet, pioniere e leader nella fornitura di soluzioni UTM (unified threat management), ha scoperto un worm che ha come obiettivo gli utenti Facebook sfruttando Google Reader (un’applicazione che permette agli utenti di condividere le notizie più interessanti con la propria rete sociale), dando così agli utenti-vittime la sensazione che il contenuto sia ospitato in Google e che quindi sia sicuro e inducendoli a scaricare un codec. In che modo? Un video è distribuito attraverso il worm di Facebook e attraverso una strategia di social engineering si è reindirizzati da Facebook a Google Reader.

Fortinet ha informato sia Facebook che Google e ha diffuso l’advisory in allegato e disponibile al seguente indirizzo: http://fortiguardcenter.com/advisory/FGA-2008-26.html

Guillaume Lovet, Senior Manager at Fortinet’s FortiGuard Global Security Research Team, segnala le 5 successive mosse per non diventare vittime di questo attacco dagli effetti devastanti:
1. Fare attenzione ai messaggi contenenti link. Dovrebbero far scattare subito un campanello d’allarme.
2. In tal caso, fermarsi un momento e chiedersi se il messaggio che si sta leggendo proviene davvero da chi dichiarato. È molto semplice capire se si conosce la persona perché tutti hanno una propria “voce” digitale, uno stile di scrittura che nessun worm è in grado di imitare. Per ora.
3. Molte tattiche di ingegneria sociale usate dai siti di social networking cercano di invogliare la vittima a guardare un filmato. Ricordare sempre che i video online hanno un formato molto comune (es. flash) per cui è possibile vederli su youtube o dailymotion senza bisogno di plug-in o codec aggiuntivi. Molto importante: i codec che si presentano sotto forma di file di set-up eseguibili sono, in un contesto del genere, dei Trojan.
4. Non navigare in rete con un sistema non aggiornato dal punto di vista della sicurezza. Spesso questi end-point dannosi contengono exploit del browser che spingono letteralmente il Trojan sul sistema dell’utente senza che questo se ne accorga né interagisca, cosa che non succede se il browser è aggiornato. A questo scopo può essere utile alternare i browser, riducendo così la superficie degli exploit.
5. Se non si è riusciti a seguire i consigli precedenti o se il sito dannoso ha sfruttato una vulnerabilità senza patch del browser, gli strumenti antivirus possono essere la salvezza. Una combinazione di antivirus e filtro dei contenuti Web possono creare una protezione più efficace, come quando il sito dannoso è inserito in una blacklist del filtro web; l’antivirus potrebbe non essere in grado di far fallire l’attacco ma, vista la crescente raffinatezza delle minacce, è sempre bene averli entrambi.

Era già apparso lo scorso luglio tra gli utenti Facebook, indirizzandoli verso pagine contenenti allettanti video che però non potevano essere visualizzati senza prima aver scaricato un falso codec (in realtà un vero e proprio trojan). Si trattava del worm Koobface, ora, secondo quanto rilevato da Fortinet, reincarnato in una nuova versione in grado di indirizzare le vittime verso pagine apparentemente facenti parte di Google Reader al cui interno è presente il tradizionale video tentatore. Mentre il motore di ricerca è al lavoro per risolvere il problema, i cybercriminali hanno iniziato ad attirare le vittime anche verso false pagine di Google Picasa.

Poiché Google Reader permette di condividere la notizie più interessanti con la comunità online, alcuni cybercriminali hanno registrato nuovi account Google Reader (manualmente, attraverso tecniche di phishing o violando i CHAPTCHA), allo scopo di diffondere link in grado di indirizzare le vittime verso siti malevoli, complice un frame particolarmente attraente presente all’interno del messaggio. In realtà, come è accaduto con Facebook, il filmato risulta impossibile da visualizzare a causa della mancanza del codec appropriato; l’invito a scaricare il codice necessario alla visualizzazione in realtà installa nel computer il trojan W32/Zlob.NKX!tr.dldr.

La scelta di utilizzare Google Reader come specchietto per le allodole nasce dal desiderio di trasmettere alla vittima la sensazione di accedere ad un sito sicuro, in quanto ospitato da un portale del calibro di Google. L’effetto sicurezza, combinato con l’idea che si tratti di un “messaggio amico”, offre una combinazione vincente per una massiccia diffusione del trojan. Fortinet avrebbe già notificato il problema al motore di ricerca, il quale sarebbe al lavoro sulla soluzione: «stiamo analizzando i resoconti che abbiamo ricevuto» ha dichiarato un portavoce di Google, «e siamo impegnati nel chiudere ogni account che ha violato le nostre linee guida».