Ora in Facebook va di moda rubare: ecco come difendersi

Ora in Facebook va di moda rubare: ecco come difendersi

È la legge del West: lo vedo, mi piace, lo prendo. “Rubare” le pagine altrui su Facebook, sostituendosi agli amministratori, sembra essere diventata l’ultima tendenza, specialmente dei ragazzi, su Facebook. Non si tratta di hacking (altrimenti gli hacker veri finirebbero per offendersi), ma più che altro di uno stratagemma da smanettoni, il più delle volte semplici adolescenti con attitudini informatiche più o meno spiccate, che cercano di “sottrarsi” a vicenda le pagine più seguite della rete o, talvolta, gli stessi profili.

Il motivo? La sensazione di onnipotenza che deriva dal diventare da un giorno all’altro amministratori di pagine con migliaia, o addirittura decine di migliaia, di fan. O ancora la celebrità a buon mercato che Internet regala. O magari solo la voglia di fare un dispetto a qualcuno di particolarmente antipatico. Magari solo la voglia di fare un dispetto a qualcuno di particolarmente antipatico. A onor del vero, mettere a segno il “furto” di pagina non è così semplice. Parola di chi ci ha provato, e sul web ha diffuso anche veri e propri vademecum “a scopo didattico” su come provarci. Occorre tempo, pazienza, e il più delle volte una discreta dose di fortuna. Il problema è che i tanti bug che ancora affliggono Facebook, nonostante i continui aggiornamenti, lasciano parecchi varchi aperti agli appassionati di questo nuovo sport da tastiera.

Gli stratagemmi più utilizzati riportati nella rete sono essenzialmente tre.

  • Il primo consiste nel realizzare una falsa pagina di accesso in html identica a quella di cui ci si vuole appropriare, facendo in modo che, una volta inseriti i dati di accesso da parte dell’ignaro admin, questi vengano immediatamente rispediti all’indirizzo e-mail di colui il quale si vuole appropriare della pagina. Questi potrà così accedere con user e password originali, ed espellere gli amministratori ormai “di troppo”.
     
  • Il secondo, più macchinoso, consiste invece nell’utilizzare sistemi di recupero password attraverso l’indirizzo e-mail secondario, richiesto per ogni account, oppure la “domanda segreta”. Inutile sottolineare però che, in questo caso, occorre conoscere piuttosto bene l’amministratore che si vuole attaccare, per disporre dei dati necessari senza dover procedere a tentoni.
     
  • Infine, si può usare un attacco di “Brute Forcing”, per tentare a tappeto una dopo l’altra tutte le password possibili. Nonostante in apparenza possa sembrare il più complicato e dispersivo, in realtà è proprio il brute forcing che viene utilizzato di più, grazie all’utilizzo di speciali script che consentono di automatizzare i tentativi senza dover ricominciare ogni volta da capo. Si tratta comunque di un metodo che richiede molto tempo (un attacco di questo genere può richiedere anche diversi giorni), e che può far “insospettire” il server a forza di tentativi mancati. A meno che non si riesca a mettere le mani sullo script messo a punto da un hacker noto nella rete come Gunslinger_, che a detta degli esperti parrebbe essere di facile utilizzo e praticamente infallibile.

Ma la vera “piaga” del momento sono le false applicazioni che celano al loro interno script in grado di risalire a user e password, attraverso un metodo praticamente identico a quello illustrato per il primo stratagemma. Si tratta di uno dei casi attualmente più diffusi di phishing su Facebook, che sfrutta veri e propri “specchietti per le allodole” come falsi video imperdibili, notizie sconvolgenti giochi on-line fasulli annunciati da titoloni e immagini di grande appeal. Con un clic si viene indirizzati verso un sistema di log-out da social network e di qui ad una falsa pagina di log-in che però non conduce proprio da nessuna parte, se non l’hacker a carpire i dati desiderati.

Per non cadere nella trappola basta comunque un po’ di buonsenso. Il più delle volte, infatti, le false applicazioni vengono realizzate in maniera piuttosto grossolana e facilmente individuabile. Se ad esempio un caro amico di Moncalieri o lo zio che abita a Gioiosa Ionica continua a condividere uno strano video commentandolo in uno slang come il cockney, non ci vuole molto a capire che forse c’è qualcosa che non quadra. Se l’ennesimo appello alla solidarietà verso un fantomatico bimbo malato, cane abbandonato o cavallo destinato al macello riporta riferimenti troppo scarsi per risultare credibile, forse non è il caso di lasciarsi stringere il cuore. Se sul più puritano dei social network, dove si rimuovono persino le foto di scollature troppo generose, improvvisamente spuntano video di ragazze discinte, meglio scegliere la castità.

Altrimenti si rischia di cadere preda della “selezione naturale” del web, dove l’incauto e lo sprovveduto spesso fanno la fine della gazzella ferita nei documentari di Quark. In fondo, se non è quella della giunga, di sicuro è la legge del West: lo vedo, mi piace, lo prendo. Soprattutto se il legittimo proprietario è abbastanza incauto da lasciarmelo fare.

Per approfondire:
Il dossier de Linkiesta sugli hacker

Le newsletter de Linkiesta

X

Un altro formidabile modo di approfondire l’attualità politica, economica, culturale italiana e internazionale.

Iscriviti alle newsletter