martedì 4 novembre 2008

Facebook e le tecniche sociali utilizzate dai creatori di malware

Più passa il tempo, più le tecniche sociali utilizzate dai cybercriminali divengono subdole.
Dall'estate 2008 è stato avvistato più di un worm avente come obiettivo gli utenti Facebook. La strategia, come spesso accade in questi casi, è semplice ma, proprio per questo motivo, efficace: un messaggio dannoso viene inviato agli amici dell’utente infetto invitandoli a visitare una pagina con un video online. Però, se si segue il link, si scopre che il video non parte… a meno di non installare un codec speciale, come viene richiesto dalla pagina! Ovviamente, tale codec non è altro che un Trojan contenente vari tipi di porcherie (malware, worm etc).
Recentemente, questa strategia di social engineering si è arricchita di un elemento molto interessante: l'utilizzo di Google Reader! In pratica alla vittima viene detto che per vedere il filmato deve cliccare su un link che rimanda a Google Reader. (vedi figura sotto)



particolare dell'immagine di sopra



La vittima, cliccando sul link proposto, arriva effettivamente a una pagina di Google Reader dove è visualizzato un frame del filmato in questione. (vedi figura sotto)




Peccato che cliccandoci sopra per far partire il filmato, compaia una schermata di errore che avvisa che per vedere il filmato bisogna scaricare prima un codec all'indirizzo indicato.
(vedi figura sotto)





Chiaramente all'indirizzo indicato non si scarica un codec ma un 'topone'...
I cybercriminali che hanno ideato i worm di Facebook infatti hanno registrato, tramite operazioni di phishing, degli account Google Reader allo scopo di caricarli di link a siti dannosi.L'uso di Google Reader ha uno scopo ben preciso: dare alla vittima la sensazione che il video sia ospitato in Google e che quindi sia sicuro. Questo elemento abbinato con il fattore “è il messaggio di un amico”, serve a far abbassare la guardia all’utente, aumentando le probabilità che la vittima designata faccia il fatidico click.