Prima fase: raccogliere gli indirizzi. Innanzitutto dobbiamo individuare i gruppi aziendali creati dai dipendenti del nostro obiettivo su Facebook. Con una falsa identità ci uniamo alla pagina dell’azienda e cominciamo a raccogliere i nomi e gli indirizzi dei membri che si identificano come dipendenti dell’azienda. Per ricostruire un indirizzo email mancante, cerchiamo su internet un indirizzo qualsiasi della stessa azienda che ci serva da modello per seguire. Per fare un esempio dei più comuni, se la convenzione è nome.cognome@dominioazienda, allora ci basta sapere il nome del dipendente per risalire al suo indirizzo. In questo modo possiamo stilare la nostra lista di contatti per l’attacco.

Seconda fase: creare un sito-civetta. Dobbiamo scegliere un dominio che appaia collegato a quello dell’azienda, aggiungendo un argomento di comune importanza; i più sfruttati sono legati alla beneficenza o alle risorse umane. Il nostro dominio potrà essere ad esempio nomeazienda-terremoto-haiti.com. La pagina che corrisponde a questo dominio dovrà avere un aspetto molto simile a quello del sito aziendale, utilizzando lo stesso logo e la stessa struttura.
Terza fase: creare l’email-esca, che dovrà avere tutto l’aspetto di una email delle risorse umane dell’azienda. Nel nostro caso, il testo annuncerà ai dipendenti l’apertura di un nuovo portale per la beneficenza e conterrà l’invito a cliccare sul link alla pagina web-trappola.

Quarta fase: gettare l’amo. Coloro che riceveranno l’email e cliccheranno sul link verranno condotti alla pagina fittizia, che chiederà loro di inserire le credenziali della rete aziendale, come se dovessero  effettuare un normale login. Una volta inserite username e password, le vittime verranno condotte a una pagina ‘under construction’.

I risultati di questi test sono sbalorditivi. Pur lasciando diverse chance di avere qualche sospetto (diversi errori ortografici e un piccolo disclaimer per avvertire che la pagina era un fake), normalmente tra il 45 e il 50 percento dei dipendenti contattati risponde alla email e inserisce le credenziali aziendali. In alcuni casi, addirittura, l’esperimento dev’essere interrotto perché le email vengono inoltrate ai dipendenti di altre aziende, dove normalmente qualcuno si insospettisce lanciando l’allarme.

Morale: mai lasciare incustodite le pagine aziendali su Facebook. È necessario che un amministratore controlli regolarmente gli iscritti alla pagina ed elimini tutti i contatti sospetti. Ma non è tutto: la policy non dovrebbe permettere che i dipendenti rendano pubbliche le proprie email aziendali. Siccome però le policy sono molto noiose da leggere e regolarmente non vengono osservate, forse sarebbe più sicuro offrire ai propri dipendenti uno spazio sulla intranet. Sarebbe una scelta molto più saggia, vista anche la normale tendenza degli utenti di Facebook a essere particolarmente loquaci sulla propria vita e sul proprio lavoro, regalando così ai malintenzionati informazioni che, unite all’appartenenza all’azienda obiettivo dell’attacco, possono rivelarsi micidiali. A questo proposito ne sa qualcosa il fondatore stesso di Facebook Mark Zuckerberg, che al momento di fregare la concorrenza ha saputo benissimo come muoversi.

Una ricerca sulla sicurezza delle password rivela che il comportamento degli utenti è a dir poco allarmante. Il 73% degli utilizza la stessa password per accedere all’home banking e ad altri siti. Il 47% ricicla sia username che password. Quando la banca permette all’utente di scegliersi il proprio user ID, il 65% lo riutilizzerà in un sito non-finanziario, e il 45% riutilizza lo user ID fornito dalla banca su altri siti.

Le conseguenze di questi comportamenti possono essere gravissime, perché il furto di credenziali è il modo più semplice per eludere i sistemi di sicurezza più sofisticati. Se ad esempio un malintenzionato riesce a carpirvi le credenziali per accedere al vostro profilo su un social network, avrà buone probabilità di accedere anche alla vostra webmail e al vostro conto online. Con una sola username e una sola password avrà rubato la vostra identità agendo in rete come se foste voi stessi a farlo, con la possibilità che ‘vi faccia’ commettere reati e… prosciughi il vostro online – e in questo caso non è come subire una rapina, perché chi accede all’home banking con le credenziali di un’altra persona è… quella persona stessa.

Oggi è molto difficile azzeccare password che possano resistere ai tool di crackaggio attualmente in uso dagli hacker. Ecco tre semplici accorgimenti per mantenere le vostre password al sicuro e non dover ricorrere a metodi mnemonici complicati per ricordarle.

1. Usate semplici password senza riferimenti personali sui social network e cambiatela almeno una volta la settimana. Inutile usare una password complessa, perché su questi siti viaggia in chiaro.
2. Usate una password lunga almeno 10 caratteri per siti critici come homepage banking e simili. La lunghezza ci assicura che anche il più accanito cracker ci metterà anni a scoprirla. Meglio usare una frase intera come quella di un libro in modo che si possa facilmente riconrdare.
3. Non acconsentite mai che il browser memorizzi la vostra password.

Riassumendo, il consiglio è di usare 2 set di password: uno semplice per quei siti e servizi con sicurezza zero e uno complesso per posta elettronica e siti ad alta sicurezza.

1. Chi vede i vostri post?

Ogni volta che condividete un elemento (link, video o altro) nella barra di stato, un bottone vi permette di decidere chi potrà vedere il vostro post. Le scelte sono tre: amici, amici di amici, tutti. Di norma, se non selezionate alcuna di queste opzioni, accettate di rendere visibile a tutti il vostro post. E per tutti si intende non solo tutti gli utenti di Facebook, ma anche qualsiasi sua applicazione. A questo proposito, esiste da tempo un quiz  dal titolo What Do Quizzes Really Know About You? che rivela quante informazioni condividiate con le applicazioni di Facebook e quindi anche con i loro sviluppatori. Per ripristinare un minimo di privacy sui post:

• Dal vostro profilo, selezionate il menu Impostazioni (in alto a destra, a fianco della casella per le ricerche) e cliccate su “Impostazioni sulla privacy”
• Scegliete “Impostazioni del profilo” dalla lista.
• Alla voce “Post pubblicati da me” selezionate “solo amici” per assicurarvi che solo chi avete scelto volontariamente possa vedere gli elementi che condividete.

2.Chi può vedere le vostre informazioni personali?

È bene sapere che dallo scorso dicembre nelle informazioni personali del profilo sono visibili a tutti le voci membri della tua famiglia e situazione sentimentale, mentre sono visibili agli amici degli amici il compleanno, l’orientamento religioso e quello politico. Per cambiare queste impostazioni:

• andate in Impostazione privacy;
• cambiate la visibilità delle voci che volete mantenere riservate; è consigliabile rendere visibile il proprio compleanno solo ad amici, soprattutto perché informazioni di questo tipo sono molto ambite dai ladri di identità.

Ricordate inoltre che rendere visibile una di queste voci agli “amici degli amici”  significa che renderle visibili a chiunque i vostri amici abbiano aggiunto come amico, il che può voler dire migliaia di persone che voi non conoscete.

3. Cosa vedono i motori di ricerca?

Secondo le nuove impostazioni predefinite, Google può vedere le vostre informazioni pubbliche e i dati del vostro profilo per i quali avete impostato la visibilità a tutti. Per modificare queste impostazioni:

• andate in Impostazioni privacy e selezionate Ricerche;
• alla voce Risultati di ricerca pubblica togliete la spunta da Consenti.

Che altro?

Certo, questi tre accorgimenti toccano solo gli aspetti più critici, avverte il NY Times, e ci sarebbe altro da dire sulla sicurezza del social network. Vale la pena di ricordare che lo scorso settembre Barack Obama – proprio lui, che aveva impostato la sua campagna elettorale anche sull’uso di Facebook – aveva avvertito i giovani americani a fare molta attenzione a ciò che pubblicavano sui social network: “Nell’era di YouTube,” aveva detto il presidente USA “qualunque cosa voi facciate, prima o poi tornerà a galla in qualche momento della vostra vita.”

Fonti:

• The 3 Facebook Settings Every User Should Check Now – NY Times
• 5 Easy Steps to Stay Safe (and Private!) on Facebook – NY Times
• Obama’s Advice to Aspiring Politicians: Be Careful on Facebook – Bloomberg

Il pericolo è stata segnalato lo scorso agosto all’Authority per le Aziende Finanziarie (la FINRA) da una lettera che conteneva come prova una username e una password al sistema di gestione del portfolio. Dopo ulteriori indagini, la Lincoln ha scoperto che un’altra sua sussidiaria, la Lincoln Financial Advisers, utilizzava credenziali condivise per accedere al portfolio. La compagnia ha scoperto un totale di sei password e username condivise, create addirittura nel 2002.

Il team forense che ha investigato sulla falla non ha trovato prove che i dati siano stati utilizzati fuori dalla Lincoln, né da hacker o da ex dipendenti. Secondo la finanziaria, il sistema di gestione del portfolio aggiorna i dati degli account dei clienti, e perciò contiene molte informazioni sensibili, ma non permette all’utente di accedere a quegli account.

La Lincoln ha dichiarato di aver azzerato tutti gli username e password nei suoi sistemi, e sta comunicando ai clienti interessati dalla vulnerabilità, offrendo loro i servizi contro il furto di identità.

Fonte:

• Lincoln National Discloses Breach Of 1.2 Million Customers – DarkReading