Analisi dell’attacco a un profilo Facebook

Arronzulla, IT Secutity, ,

Ultimo aggiornamento: 10-03-2016

L’altro giorno un amico su Facebook ha scritto in un post che gli stavano arrivando solo SMS che chiedevano di reimpostare la password, solo che non era stato lui a richiederlo e voleva sapere cosa si potesse fare per fermare tutto ciò e come fosse possibile.
Parlandoci un pò è uscito fuori che tutto è iniziato quando due profili falsi gli hanno chiesto amicizia:

  • un profilo aveva un nome comune con informazioni che potrebbero portare a pensare a qualche conoscente della stessa zona.
  • l’altro profilo aveva il suo stesso nome: quindi uno poteva pensare a un possibile parente (alla lontana).

Ovviamente accortosi che erano profili falsi, il mio amico ha subito segnalato la vicenda e i profili.

L’articolo lo puoi leggere in [est_time] minuti

Come può essere accaduto

Come voi tutti sapete per accedere a Facebook si utilizza la propria email e di default è impostato che la possono visualizzare i nostri amici di profilo, quindi una volta che si è nostri amici si potrebbe avere l’email del login (se viene mostrata quella), anche se, su molte informazioni personali viene mostrata l’email @facebook.com: anche questa può essere usata per accedere al vostro account!.

A questo punto, avendo la nostra email di login, per trovare la password si può utilizzare un programma che fa un attacco a dizionario o uno può provare a mano. Infatti dopo vari tentativi di login andati a male, ma dove si è inserita la giusta email, Facebook vi mostra ciò:

Ovviamente vi mostra anche l’immagine del profilo, non sia mai che avete sbagliato email (a posta)..
Premendo “Reimposta” esce ciò:

Quindi una volta che una persona arriva qui, vi può mandare SMS e/o email.

Come difendersi

Affinchè neanche i vostri amici possano vedere la vostra email, basta semplicemente cliccare in alto a destra sul lucchetto e poi su “Controllo della privacy

fb_attack4Qui vi appare una finestra: arrivate sulla terza voce “Il tuo profilo” e impostate la privacy della vostra email, del vostro numero di telefono, ecc…

E ovviamente per evitare l’attacco a dizionario, vi consiglio anche di usare una password che contiene numeri, maiuscole e minuscole.

Nota Bene:

  • Anche l’email che vi crea Facebook (quella [email protected]) può essere usata per effettuare il login al vostro account.
  • Ovviamente una volta che un malintenzionato (non chiamatelo hacker) ha la vostra email di accesso di Facebook, l’unica cosa che potete fare è cambiarla così non vi arriveranno più notifiche: ora potente andare sul sito di Aranzulla 😛