Hackerare Facebook con il Self-XSS
I truffatori hanno preso di mira più di un miliardo di utenti attivi del popolare social network Facebook, per infettare quante più vittime possibili.
Non si sta parlando di fornire post fasulli e nemmeno link a video malevoli: questa volta gli hacker hanno utilizzato un nuovo metodo per fare in modo che gli utenti di Facebook iniettino o posizionino codice JavaScript o client-side malevoli nel loro browsers. Costringendoli di fatto ad auto-hackerarsi.
Questo codice malevolo permette ad un hacker di avere accesso agli account delle vittime, per poi usarli per fare frodi, inviare spam o promuovere ulteriori attacchi postando la truffa sulle pagine degli amici delle vittime. Questa tecnica è conosciuta come Self Cross-site Scripting o Self XSS.
La truffa Self-XSS (Self Cross-Site Scripting) è una combinazione di ingegneria sociale e vulnerabilità del browser, progettata per fare in modo che gli utenti Facebook forniscano loro stessi l’accesso al loro account. Una volta che il truffatore o l’hacker ottiene l’accesso all’account di Facebook, possono addirittura postare o commentare per conto dell’utente.
Per infettare l’utente Facebook, l’hacker invia un messaggio phishing via email o tramite un post di Facebook da parte di uno degli amici nella lista della vittima, affermando, in questo caso, di avere un metodo per hackerare qualsiasi utente Facebook con poche semplici mosse.
Il post-truffa ha un aspetto simile:
Hackera qualsiasi account Facebook con queste mosse:
1. Vai nel profilo della vittima
2. Clicca col destro e poi clicca su “ispeziona elemento” e clicca sulla tab “Console”.
3. Incolla il codice nel riquadro in basso e premi Enter.
Il codice si trova in questo sito: http://textuploader .com****/
Buona fortuna!
Non far del male a nessuno…
Vogliono che tu segua determinate istruzioni copiando ed incollando il codice malevolo, fornito nelle istruzioni riportate, per appropriarti dell’account di qualcun altro. Questo trucchetto va bene sia per Google Chrome che per Mozilla Firefox.
Una volta che hai auto-inserito lo script malevolo nel tuo account, fornirà l’accesso del tuo intero account a qualcuno che potrebbe fare svariate attività malevole e quindi diffondere qualsiasi tipo di campagna malevola. In particolare, gli attacchi di tipo XSS mirano a fare in modo che il codice JS esporti i cookie della sessione attiva corrente su un server remoto e dunque possa essere utilizzata per l’accesso non autorizzato all’account Facebook.
Gli hacker possono, tra l’altro, infettare il computer della vittima con malware che possono accedere a dettagli bancari e inviarli in una località lontana controllata da loro.
Facebook ha inserito la frode nella lista delle minacce di cui cadono vittime i suoi utenti. “Gli hacker che utilizzano Self-XSS ti ingannano promettendoti di aiutarti ad hackerare l’account di qualcun altro” dice il post. “L’obiettivo del truffatore è di fare in modo che tu immetta il loro codice malevolo nel tuo computer. Quando immetti il loro codice, permetti al truffatore l’accesso al tuo account per fare frodi, spam e per indurre altre persone ad utilizzare questo raggiro.”.
Individuare queste truffe e denunciarle è il metodo migliore per proteggerti, ma se dovessi cadere vittima di questi attacchi, niente panico! Disconnetti la tua sessione corrente (il cookie non sarà più valido e l’attaccante non avrà modo di accedere al tuo account), inoltre come buona regola vale sempre il consiglio di cambiare password e attivare l’autenticazione in due passaggi.
Facebook, inoltre, sta lavorando con diverse compagnie di browser per aumentare la protezione nei browser e bloccare l’utilizzo di questi metodi.
Già da non molto tempo l’apertura della console javascript sul sito di facebook, riporta il seguente avviso:
Commenti