Account Facebook a rischio, attenti alle nuove truffe

truffa_facebook_xss

L’articolo è di qualche mese fà ma comunque molto attuale dopo alcuni fatti che si sono verificati recentemente.
Facebook ha preso coscienza di una nuova tipologia di attacco che sta prendendo di mira gli iscritti al social network, il cosiddetto Self-XSS.

La società fondata da Mark Zuckerberg ha infatti aggiornato il proprio sito web di supporto; (vedere questa pagina), spiegando come il Self-XSS sia un’aggressione mirata, nello specifico, a sottrarre le altrui credenziali d’accesso.

L’attacco ha inizio con l’arrivo di un’e-mail o di un messaggio, tramite Facebook, che presenta una  metodologia per impossessarsi delle credenziali d’accesso utilizzate da altri iscritti al social network. Il testo del messaggio (vedere l’immagine a lato), per adesso in inglese, è già abbastanza diffuso e potrebbe ben presto essere tradotto in altre lingue (italiano compreso).
Ovviamente si tratta di un messaggio truffaldino: le istruzioni riportate non consentono assolutamente di mettere le mani sugli username e password altrui ma, invece, si concretizzano in una serie di pericolosi passaggi che portano invece a trasferire agli aggressori i propri dati di accesso. Da qui l’appellativo “Self-XSS“.

I truffatori, infatti, suggeriscono che per impossessarsi delle credenziali d’accesso di un altro utente sarebbe sufficiente cliccare con il tasto destro sulla pagina Facebook di qualsiasi persona quindi scegliere Ispeziona elemento od Esamina elemento dal menù contestuale ed incollare il codice riportato.
Tale codice, in realtà, non fa nulla di quanto promesso: esso invece provoca l’inserimento di istruzioni JavaScript dannose all’interno della pagina Facebook alterandone il comportamento (ecco perché si parla di aggressione cross-site scripting o XSS) e provocando l’invio di informazioni personali e dati sensibili a terzi.

Come suggerisce anche Facebook nella sua pagina di supporto, quindi, per difendersi gli utenti debbono semplicemente astenersi dall’incollare qualunque genere di codice all’interno del browser. Allo stesso tempo, viene caldamente consigliato di informare Facebook su qualunque campagna spam o, peggio, su qualsiasi tentativo di truffa (vedere queste indicazioni). (Fonte: IlSoftware.it)

Annunci

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...