skip to main | skip to sidebar
32 commenti

Facebook, qualche trappola da evitare

Facebook, occhio ai video-shock che si fanno "piacere" automaticamente


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

La società di sicurezza AVG segnala una trappola che ha già ingannato circa 600.000 utenti di Facebook: una serie di pagine di Facebook intitolate in inglese "il 99% delle persone non riesce a guardare questo video per più di 25 secondi".

Cliccando sull'invito compare un'altra pagina con un fotogramma di un video e la spiegazione che per sbloccare il video occorre copiare e incollare nella barra degli indirizzi del browser un pezzo di codice. Il codice è Javascript, e la cosa curiosa è che se incautamente lo si immette nel browser si viene portati a una pagina che dice automaticamente a tutti i vostri amici di Facebook che vi piace l'applicazione e lo segnala in bacheca. AVG ha pubblicato un video che documenta l'attacco e il fatto preoccupante che si possano comandare via Javascript le azioni degli utenti in Facebook.


È Facebook posseduto, insomma. O forse lo era fino a poco fa, perché la pagina citata da AVG è scomparsa. In compenso ora circolano versioni più blande, come quelle mostrate qui sopra: l'esca è la stessa, il video-shock, ma adesso il meccanismo è differente. In pagine come questa, questa o questa c'è un fotogramma di un video, come prima, e c'è l'invito a "cliccare su 'Mi piace' per sbloccare il video". Ovviamente cliccando su "Mi piace" fate sembrare che il video vi piaccia e questo viene segnalato a tutti i vostri amici su Facebook, che a loro volta si fidano della vostra valutazione e cliccano anche loro su "Mi piace".


Chi volete che ci caschi, direte voi. Basta guardare l'immagine all'inizio dell'articolo: le tre pagine-esca hanno totalizzato 166.000 "Mi piace". Lo scopo, si presume, è rendere popolare la pagina per poi sfruttarla per scopi ostili e/o carpire i dati personali degli utenti.

Sono invece oltre 170.000, secondo Graham Cluley di Sophos, gli utenti di Facebook che hanno cliccato su un link che dice di portare a un video di una persona morta per aver inviato un SMS. L'esca è il titolo "Sono sotto shock!! Non manderò MAI PIU' un messaggino dopo che ho scoperto questa cosa" (solitamente in inglese). Chi clicca viene portato ad un'applicazione-trappola di Facebook: Facebook avvisa l'utente esplicitamente che l'applicazione sta chiedendo di accedere ai suoi dati e di scrivere sulla sua bacheca... e l'utente clicca lo stesso, senza chiedersi perché mai per vedere un video si debba dare questo genere di accesso. "A volte è come battere la testa contro un muro" scrive sconsolato Cluley.

Ovviamente il messaggio dell'applicazione, comparendo nella bacheca dell'utente, viene visto dagli amici di quell'utente, che a loro volta si fidano della scelta dell'amico e cliccano per vedere il video shock. E si ricomincia.

I commenti qui sotto segnalano altri casi analoghi in italiano, come per esempio "Guardate come e' diventato questo big mac dopo due settimane!!", che ha totalizzato 364,812 "mi piace".

Facebook può mettere tutte le avvertenze di privacy che vuole, ma se gli utenti le ignorano perché troppo attratti dall'esca di un video che parla di una cosa che li tocca emotivamente ("Morire per un SMS? Allora non posso più mandare messaggini?"), c'è poco da fare. È come pretendere che una falena non vada a bruciarsi contro una lampadina accesa in una notte d'estate.

Attacchi come questi, basati sull'emozione, sono all'ordine del giorno su Facebook. Se ci cascate, andate nelle impostazioni delle applicazioni in Facebook e cliccate sulla X per rimuovere l'applicazione che avete autorizzato per errore. Confermate la vostra richiesta e poi ripulite la vostra bacheca dai messaggi generati dall'applicazione. Infine chiedete di fare altrettanto agli amici che ve l'hanno segnalata e provate ad essere un po' più cauti in futuro.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (32)
anche il 100% se il video dura 24 secondi ;-) (o meno)
"Morire per un SMS? Allora non posso più mandare messaggini"

Per non parlare di chi muore 7 giorni dopo aver visto una videocassetta!
Paolo, permetti un appunto?

questa tecnica ormai e' vecchia. Ha avuto il suo apice un paio di mesi fa, con decine di pagine al giorno (ricordo "non berro' piu' C*** C***", "non mangero' piu' un panino da McD*****", etc.) ormai ne vedo sempre meno (quasi piu' nessuna a dire il vero).

Quello che ha preso tantissimo piede e' quello che tu segnalasti qui: Likejacking

Per quanto riguarda il "movente" ritengo sia molto piu' banale di quello da te proposto: i gestori delle pagine, come te sottolinei, hanno accesso ad alcune informazioni personali dei gonzi di turno. Direi una ragione piu' che valida.
Sono invaso da cose tipo: "un signore entra in un caffè.." se vuoi sapere come finisce la barzelletta clicca su "mi piace".
Oppure: Un gallo fa un uovo sulla cima di una montagna, da che parte cade l'uovo?" se vuoi sapere la soluzione all'indovinello clicca su "mi piace".
Io provo a spiegarlo a quei cretini dei miei amici che non devono cliccare, ma non serve...
Segnalo la pagina in italiano che si chiama: "[Disgustoso] Guardate come e' diventato questo big mac dopo due settimane!!" 359,812 persone hanno cliccato su mi piace!
Aggiungo che molte di queste pagine (non so questa nel particolare, ma dallo screenshot sembra di si), per mostrare tutto il contenuto richiedono all'utente non solo di cliccare su "mi piace", ma anche di compilare un finto sondaggio o di partecipare a una finta lotteria, che spesso si concludono in proposte di abbonamento a servizi a pagamento sul cellulare.
Ovviamente una volta eseguito il tutto (testato con un account sacrificabile) quasi sempre non si accede comunque il contenuto promesso.

Quest'ultimo sistema di accesso a contenuti comunque è esterno a facebook, mi era già capitato di vederlo da altre parti.
"Io provo a spiegarlo a quei cretini dei miei amici che non devono cliccare, ma non serve"

Ma i tuoi amici dove vanno, all'asilo? Perché sono barzellette da elementari...

Sara & Erisha
"Segnalo la pagina in italiano che si chiama: "[Disgustoso] Guardate come e' diventato questo big mac dopo due settimane!!" 359,812 persone hanno cliccato su mi piace!"

Ma il mac è il panino o il computer che piace a Paolo Attivissimo? E cosa piace loro, il panino dopo due settimane?
Se avessero letto il libro di Morgan Spurlock "Non mangiate questo libro" saprebbero subito che è una bufala, si sa che i panini di quel fast food sono talmente pieni di conservanti che non si decomporrebbero nemmeno in 100 anni!

:)

Sara & Erisha
@Sara und Erisha:
Se avessero letto il libro di Morgan Spurlock "Non mangiate questo libro"

Cos'è, l'angolo dei consigli letterari non richiesti di Sara & Erisha? ;-)
Ma il mac è il panino o il computer che piace a Paolo Attivissimo?

Il Mac piace a Paolo Attivissimo? Guarda, io seguo questo blog da oltre 60 anni, l'ho impostato come homepage di tutti i miei computer compreso quello dello spazzolino elettrico, ho un cartonato a grandezza naturale di Paolo in camera da letto e quando avrò una figlia la chiamerò Paolo Attivissimo... ma quando parla di Mac credo il suo odio contro la Apple sia un pregiudizio inaccettabile, fosse per me lo fulminerei sul posto!

Non capisco proprio cosa c'entri quest'attacco spudorato contro i Mac che dopo due settimane non servono più a niente, e tutte queste allusioni sul fatto che gli utenti Mac sarebbero quelli che vanno a cliccare sui link fasulli di Facebook!

E cos'è questa storia che con l'iPhone non si possono mandare SMS perché uno è morto mandandolo? siete tutti come la favola della volpe e l'uovo, disprezzate le cose solo perché non potete averle! Compratevi pure qualche clone scadente per poveracci dell'iPhone, come quei telefonini di marche cinesi come Nokia, HTC o Motorola!!

E poi tenetivi il vostro amato Windows sui vostri computer e i vostri telefonini e voglio vedere come diventeranno dopo due settimane senza patch!
I Mac saranno pure vulnerabili a questi attacchi Java Script che possono formattare la scheda madre, ma sempre meglio del vostro Flash che è una tecnologia vecchia e obsoleta e che poi vi acceca tutti e cancella i dati dalle vostre schede di memoria!

E poi prima di andare a dire che i Mac fanno schifo dopo due settimane, andate a vedere dai fruttivendoli che vendono copie spudorate del marchio Apple, e guardate come diventano le loro copie dopo due settimane!!!
@Sara und Erisha:
Per non parlare di chi muore 7 giorni dopo aver visto una videocassetta!

Chi erano, due carabinieri dopo aver visto un film che faceva morire dalle risate?
@TuKler:
Il Mac piace a Paolo Attivissimo? Guarda, io seguo questo blog da oltre 60 anni, l'ho impostato come homepage di tutti i miei computer compreso quello dello spazzolino elettrico, ho un cartonato a grandezza naturale di Paolo in camera da letto e quando avrò una figlia la chiamerò Paolo Attivissimo... ma quando parla di Mac credo il suo odio contro la Apple sia un pregiudizio inaccettabile, fosse per me lo fulminerei sul posto!

Non so quanto siano lunghi i tuoi anni, ma se lo segui davvero da tanto, prendi la tua copia autografata dell'Acchiappavirus e leggi la Regola Zero.

Oppure chiediti perché sta scrivendo un libro intitolato "Da Windows a Mac".

Oppure rileggiti l'articolo su Longhorn.
il primo l'hanno inviato anche a me!!

e.. no no... non chiederò ai miei amici di non inoltrare tutte le cavolate che trovano su facebook o di non cliccare su tutto.... mi son già scontrato per questo...

semplicemente ignorerò chi pubblica troppa spazzatura.. :)
Cos'è, l'angolo dei consigli letterari non richiesti di Sara & Erisha? ;-)

ROTSLOLMAOASTCTDTPTPTPTCTBTTTOATJOTLYLTATTTTTAAFITRUAGHASTD !
:D
@Turz:
Non so quanto siano lunghi i tuoi anni, ma se lo segui davvero da tanto, prendi la tua copia autografata dell'Acchiappavirus e leggi la Regola Zero.

Oppure chiediti perché sta scrivendo un libro intitolato "Da Windows a Mac".

Oppure rileggiti l'articolo su Longhorn.


Oppure tu, Turz, chiediti tu perché TuKler dice "la volpe e l'uovo" o "marche cinesi come Nokia"!

ma sempre meglio del vostro Flash che è una tecnologia vecchia e obsoleta e che poi vi acceca tutti e cancella i dati dalle vostre schede di memoria!

E poi prima di andare a dire che i Mac fanno schifo dopo due settimane, andate a vedere dai fruttivendoli che vendono copie spudorate del marchio Apple, e guardate come diventano le loro copie dopo due settimane!!!


Un bel ROTSLOLMAOASTCTDTPTPTPTCTBTTTOATJOTLYLTATTTTTAAFITRUAGHASTD anche per TuKler !
:D
Oppure tu, Turz, chiediti tu perché TuKler dice "la volpe e l'uovo" o "marche cinesi come Nokia"!

Ops, non avevo colto l'ironia.
Ce ne sono tantissimi altri, come "Nuovissima foto shock di Lady Gaga! Scandalosa!!!"
@Sara und Erisha
Non credo fosse complicatissimo da capire, ma la barzelletta e l'indovinello li ho scritti a caso sul momento, per ironizzare ed esemplificare il fatto che fossero barzellette e indovinelli sciocchi, certamente non c'era quello del caffè...
Comunque se li ho definiti "quei cretini dei miei amici" un motivo ci sarà (preciso che per amici intendo "gente che con cui ho un'amicizia su facebook"... fortunatamente i miei amici stretti sono abbastanza intelligenti da non cascare in stratagemmi così sciocchi.
Non credo fosse complicatissimo da capire, ma la barzelletta e l'indovinello li ho scritti a caso sul momento, per ironizzare ed esemplificare il fatto che fossero barzellette e indovinelli sciocchi, certamente non c'era quello del caffè

No, non l'avevo capito, che tonto :(
Mi sa che è meglio che sia io a tornarmene alle elementari :D

Ciao
Sara & Erisha AKA So L'enigmista
Quella del big mac l'ho vista anch'io in giro per bacheche. Queste cose si stanno diffondendo un po' troppo ultimamente, non mi piace. Alla fine è anche abbastanza facile evitare questi casi estremi, ma le cose che danno più fastidio sono le applicazioni che cominciano ad abusare dei dati dell'utente. Fino a qualche mese fa ti chiedeva i dati e al massimo li elaborava, ora sembra quasi impossibile trovare un'applicazione che non si autoposti sulle bacheche di una miriade di amici. Spero che si ponga rimedio a ciò, è davvero sgradevole.
A me capitò con uno dei primi esempi, una pagina in cui, per vedere la soluzione di un quiz, occorreva cliccare su un pulsante che richiamava, senza che io lo sapessi, lo script per pubblicare il "Mi piace".
@Turz:
Proprio da te non me l'aspettavo...:P
quando avrò una figlia la chiamerò Paolo Attivissimo

propongo la sterilizzazione coatta di Tucler

e quando dico coatta, non intendo l'infermiere che entra e dice "te pijo a pizze a due a due finché non diventano dispari"
Ricordatevi sempre che il migliore (o peggiore) antivirus/antispyware è quello che si trova tra la sedia e la tastiera.
In realtà non è neppure necessario copiare pezzi di codice o altro. A me è capitato semplicemente cliccando su un normalissimo link di Facebook, uno dei tanti, identico a quelli "normali": un banalissimo redirect mi ha portato automaticamente ad un'altra pagina di Facebook che - evidentemente - "si è piaciuta da sola", senza alcun intervento mio. In questi casi è impossibile difendersi, salvo verificare immediatamente la propria bacheca e rimuovere il "mi piace" abusivo. Unico indizio, il redirect automatico...
Per la cronaca, anche un link di nome "Dimagrire senza dieta" faceva lo stesso.. fino a 20 minuti fa, poi è stato disattivato da fb come link malevolo.
Dimagrire senza dieta è di nuovo attivo, è bastato un "clicca qui" come se ne trovano tanti per proseguire la navigazione... :-\
Togliere il "mi piace" o il "consiglio" dalla Bacheca è abbastanza semplice. Togliere la pagina dalle preferite nel Profilo un po' meno.

Ho raccolto qualche istruzione qui:

http://luca.boccianti.com/?p=282

Il post riguarda la "Scoperta scioccante per dimagrire", ma le istruzioni vanno bene anche per altre pagine simili.
Segnalo un'altra versione della stessa trappola (per esempio: http://tinyurl.com/3ymxd9z, che compare sotto il titolo "ECCO il vestito con il quale QUESTA ragazza è stata sospesa da SCUOLA!")
in questo caso vi è la scritta "Clicca qui per vedere!" dietro alla quale si nasconde un classico pulsante "mi piace" di FB (http://yfrog.com/5snoscriptj)

Personalmente, vedendo miei amici (anche gente intelligente e insospettabile) cascarci, ho provato a pubblicare, oltre al link a questo articolo, un paio di avvisi..ma non so se sortiranno qualche effetto..purtroppo la curiosità umana è ineluttabilmente prevedibile!
@Frankowsky:
Personalmente, vedendo miei amici (anche gente intelligente e insospettabile) cascarci, ho provato a pubblicare, oltre al link a questo articolo, un paio di avvisi..

Appena li vedo gli faccio "Mi piace".
ho tentato di entrare in una di queste pagine,quelle per dimagrire(solo per vedere che succedeva),norton ha bloccato un tentativo di intrusione
Guardate http://tinyurl.com/2wqv53v
Uhm... inganni tesi da applicazioni terze. Ok.
Aggiungo che Facebook stessa ci racconta a volte delle balle, unicamente per carpire i nostri dati personali (spesso sensibili), profilarci meglio e (meglio) vendere i suoi servizi di advertisement. Come nell’esempio che descrivo qui:

http://michelevitale.com/le-bugie-di-facebook

nel quale Facebook ci dice che il gruppo cui ci stiamo iscrivendo è stato creato per "darci informazioni" e in realtà serve unicamente a rastrellare dati personali, da utilizzare a fini commerciali.