Da tempo pensavo di scrivere questo articolo; e sono stato combattuto dentro di me sull’etica di diffondere queste informazioni o tenerle strette con me. Ma ho voluto anche aspettare e testare in prima persona i metodi che discuteremo oggi per essere sicuro di non scrivere notizie false oggi o tra pochi mesi.
l buon senso mi ha comunque imposto di non pubblicare per filo e per segno i metodi per rubare le password; vi parlerò oggi in linee generali; ognuno di voi potrà approfondire ma non certo su questo blog visto che informare è lecito ma passare alla pratica è illegale. Ma soprattutto vi spiegherò come non farvi rubare la password e come scoprire se qualche malintenzionato ha effettuato l’accesso con i nostri dati su Facebook.
Metodo n°1: Phishing
Il phishing (spillaggio, di dati sensibili) è una attività illegale che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l’accesso a informazioni personali o riservate con la finalità del furto di identitàmediante l’utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici. [Wikipedia]
Phishing su Facebook
Applicare il phishing a Facebook è molto più semplice di quel che si creda. Girano da un paio di mesipacchetti di file ben confezionati per applicare lo spillaggio dei dati personali su Facebook.
Basta caricare i file e comunicare il link alla vittima. Il pacchetto è generalmente composto da due file: un’index che è l’esatta copia dell’homepage di Facebook; e un file in php che preleva i dati che vengono inseriti dalla vittima nel form di accesso e li scrive su un altro file, o li invia direttamente via mail a noi.
Basta che la vittima sia poco esperta, che non faccia attenzione all’url, e in pochi istanti si ottiene username e password del contatto.
Metodo n°2: Software
Di hacking software per Facebook ne escono di nuovi ogni giorno. Ne ho provati a decine sul mio stesso account e, purtroppo, alcuni software funzionano davvero.
Ce ne sono di diversi tipi: quelli che bloccano l’account della vittima spammano un profilo riempendolo pieno di messaggi, commenti, like e poke in modo da farlo bloccare dagli amministratori di Facebook; o provando diverse combinazioni di password provocando un freezing dell’account.
Password Stealer
Ma tra tutti quelli testati, il più pericoloso fa qualcosa di sbalorditivo. I più esperti di voi sapranno che quasi tutte le password memorizzate sui browser o sui programmi sono accessibili e visualizzabili da moltissimi programmi. Esempio MSNpass che visualizza la password del messenger o le utility per trovare informazioni di sistema.Il software in questione prende tutte le password memorizzate sul sistema e le invia silenziosamente via e-mail a un indirizzo scelto in precedenza. Un programma molto pericoloso che, quando ho provato, mi ha stupito doppiamente: era stato bloccato dal mio antivirus, ma nonostante il blocco e la cancellazione del file riuscì comunque ad inviarmi la mail con tutte le password.
Capite voi stessi che in questo caso non si parla solo di Facebook ma di qualunque password memorizzata nel sistema. Come difendersi? Non aprite allegati sconosciuti o inviati da persone poco fidate; in linea generale non aprite allegati con estensione .exe
Metodo n°3: Ho perso la password
Un’ulteriore metodo è quello di immedesimarsi nella vittima e fingere di aver perso la password. Starete tutti pensando al metodo della risposta alla domanda segreta scommetto, Facebook però non ha questa funzione.
Non esiste nessuna domanda segreta, la password viene reimpostata inviando una mail. E se un malintenzionato avesse rubato e cambiato la password sia della mail sia di Facebook (che molte volte coincidono)?
Dobbiamo proprio sfruttare questa eventualità, e, compilando specifici moduli nell’area supporto di Facebook fingerci la vittima e chiedere che l’account abbia nuove credenziali di accesso ovvero una nuova e-mail e una nuova password. Per ovvie ragioni non vi posso postare i link dei moduli da completare, anche se sono facilmente raggiungibili.
Come difendersi
Per difendersi occorre:
- buon senso
- PRESTARE MOLTA ATTENZIONE a ciò che si clicca e ciò che si apre
- verificare che l’url sia http://www.facebook.com o http://*.facebook.com quando stiamo per accedere su Facebook.
Come scoprire se qualcuno entra con i nostri dati di accesso su Facebook
Occorre inoltre impostare il nostra account in modo da essere avvisati ogni volta che qualcuno accede con i nostri dati di accesso su Facebook.
- Clicca qui per andare nella pagina impostazioni del tuo account
- Clicca su modifica alla destra di “Protezione dell’account” e alla domanda” Vuoi ricevere le notifiche relative agli accessi da nuovi dispositivi?” Rispondi SI
- Clicca su “Invia”
In questo modo verrete avvisati con una mail ogni volta che viene effettuato un accesso da un nuovo computer (o ogni volta che cancellerete i cookie del browser).
Se qualcuno ha effettuato un accesso con i vostri dati correte a cambiare la password al più presto; se fosse già stata cambiata dal malintenzionato andate su questa pagina e resettatela.