Pagine

Visualizzazioni totali

venerdì 21 gennaio 2011

Il nuovo paradiso dei cyber criminali? I social network


Nel 2010 raddoppiati gli attacchi informatici a spese degli iscritti
I social network sono la nuova frontiera del crimine informatico. Secondo l’ultimo rapporto della società di sicurezza Sophos, gli attacchi di questo tipo nel 2010 sono raddoppiati rispetto all’anno precedente. Con 500 milioni di utenti, Facebook è di gran lunga il sito più bersagliato; il 43 % degli internauti intervistati da Sophos ha lamentato di essere stato oggetto di tentativi di phishing (nel 2009 erano il 21 per cento), il 67 % ha ricevuto spam e virus e altri tipi di software maligni hanno minacciato il 40 % degli utenti. C’è poi il fenomeno degli account compromessi, che si verifica quando qualcuno riesce ad accedere al profilo di un iscritto a un social network, rubandogli le credenziali di accesso. “Qualche mese qualcuno – racconta l’ethical hacker Raoul Chiesa - ha offerto sul mercato nero le password per accedere a tre milioni di account Facebook, ed era un’offerta reale, tanto che poco dopo è cominciata un’ondata di attacchi di phishing”. Come afferma l’esperto di sicurezza di Sophos, Graham Cluley, “una volta che si è penetrati in un account Facebook è come aver scoperto una miniera d’oro: l’utente ha immesso tutte le sue informazioni personali, che sono a tua disposizione”. Non solo, ma impadronendosi di un account si ha spesso accesso a data di nascita, indirizzo email e spesso anche numero di cellulare degli “amici”. Partendo da questa base, trovare poi altre informazioni utili a completare il profilo di un utente – da rivendere poi a società di marketing o da utilizzare magari per svuotare il suo conto bancario – è un gioco da ragazzi. E se, come spesso accade, l’utente utilizzava per accedere al suo profilo la stessa password usata per altri siti, ad esempio, per la mail, il furto dell’identità su Facebook è solo il primo passo per accedere a tutti i suoi profili online. Un problema che potrebbe aggravarsi se il progetto di Zuckerberg del “single sign on” via cellulare - quello per cui, dopo aver effettuato l’accesso a Facebook in mobilità si potranno utilizzare varie altre applicazioni installate sul telefonino (per esempio, molti giochi), senza doversi autenticare di nuovo - dovesse prendere piede. “È un’arma a doppio taglio – commenta Chiesa – se usata con cognizione, tramite una connessione criptata e una password robusta, può essere vincente. Altrimenti rischia di peggiorare le cose”. Uno degli attacchi che si stanno maggiormente diffondendo sui social network è il “clickjacking”, che consiste nell’ingannare il navigatore inducendole a cliccare su un pulsante apparentemente innocuo, che dovrebbe servire a condividere o a esprimere il proprio apprezzamento ( “mi piace) verso un certo contenuto. Di solito si tratta di inviti accattivanti – qualche tempo fa circolava su Facebook un messaggio con un link che prometteva di far comparire un filmato “hot” di Belen. Gli esperti di Sophos hanno però constatato negli ultimi tempi il moltiplicarsi di link morbosi o grotteschi: storie di suicidi, di incidenti stradali, di persone attaccate da degli squali. In realtà, quella che il navigatore visualizza è solo una specie di “maschera”, che nasconde il vero link: cliccandoci su, si viene indirizzati verso un sito contenente di solito del codice maligno, che serve a “iniettare” nel Pc del malcapitato un virus o uno spyware. Come se non bastasse, l’azione effettuata appare sulla propria bacheca e nello stream dei propri contatti, inducendoli a cliccare anch’essi e propagando così l’infezione. Un altro dei pericoli di Facebook deriva dalle applicazioni di terze parti che, nonostante tutte le precauzioni prese, sono a volte costruite appositamente per catturare i dati degli utenti attraverso dei falsi sondaggi e che, una volta installato, procedono a spammare tutti i propri contatti per raccogliere ulteriori informazioni. “Le dimensioni delle attività fraudolente sul network sono ormai fuori controllo – sostiene Cluley – Il sito sembra essere incapace o non intenzionato a investire le risorse necessarie per bloccare il fenomeno”. I responsabili del network sono soliti ribattere di avere a cuore la privacy e la sicurezza dei loro utenti; certi recenti scelte, come la decisione (poi rientrata) di autorizzare le applicazioni ad accedere al numero di telefono e indirizzo di casa degli utenti, o l’introduzione del “tagging” automatico delle foto, lasciano però più di un dubbio sulle loro reali intenzioni. La ricetta migliore è forse quella di difendersi da soli: scegliere password lunghe, fatte di simboli, lettere e numeri; non usare mai la stessa password per più siti, perlomeno per quelli importanti, e non installare applicazioni non necessarie. E soprattutto, usare un minimo di buon senso e ricordare sempre che, se una cosa è troppo bella per essere vera, o troppo invitante, è facile che ci sia sotto qualche fregatura.

Fonte: La Stampa - Autore: Federico Guerrini