Cerca nel blog

2010/07/09

Facebook, qualche trappola da evitare

Facebook, occhio ai video-shock che si fanno "piacere" automaticamente


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

La società di sicurezza AVG segnala una trappola che ha già ingannato circa 600.000 utenti di Facebook: una serie di pagine di Facebook intitolate in inglese "il 99% delle persone non riesce a guardare questo video per più di 25 secondi".

Cliccando sull'invito compare un'altra pagina con un fotogramma di un video e la spiegazione che per sbloccare il video occorre copiare e incollare nella barra degli indirizzi del browser un pezzo di codice. Il codice è Javascript, e la cosa curiosa è che se incautamente lo si immette nel browser si viene portati a una pagina che dice automaticamente a tutti i vostri amici di Facebook che vi piace l'applicazione e lo segnala in bacheca. AVG ha pubblicato un video che documenta l'attacco e il fatto preoccupante che si possano comandare via Javascript le azioni degli utenti in Facebook.


È Facebook posseduto, insomma. O forse lo era fino a poco fa, perché la pagina citata da AVG è scomparsa. In compenso ora circolano versioni più blande, come quelle mostrate qui sopra: l'esca è la stessa, il video-shock, ma adesso il meccanismo è differente. In pagine come questa, questa o questa c'è un fotogramma di un video, come prima, e c'è l'invito a "cliccare su 'Mi piace' per sbloccare il video". Ovviamente cliccando su "Mi piace" fate sembrare che il video vi piaccia e questo viene segnalato a tutti i vostri amici su Facebook, che a loro volta si fidano della vostra valutazione e cliccano anche loro su "Mi piace".


Chi volete che ci caschi, direte voi. Basta guardare l'immagine all'inizio dell'articolo: le tre pagine-esca hanno totalizzato 166.000 "Mi piace". Lo scopo, si presume, è rendere popolare la pagina per poi sfruttarla per scopi ostili e/o carpire i dati personali degli utenti.

Sono invece oltre 170.000, secondo Graham Cluley di Sophos, gli utenti di Facebook che hanno cliccato su un link che dice di portare a un video di una persona morta per aver inviato un SMS. L'esca è il titolo "Sono sotto shock!! Non manderò MAI PIU' un messaggino dopo che ho scoperto questa cosa" (solitamente in inglese). Chi clicca viene portato ad un'applicazione-trappola di Facebook: Facebook avvisa l'utente esplicitamente che l'applicazione sta chiedendo di accedere ai suoi dati e di scrivere sulla sua bacheca... e l'utente clicca lo stesso, senza chiedersi perché mai per vedere un video si debba dare questo genere di accesso. "A volte è come battere la testa contro un muro" scrive sconsolato Cluley.

Ovviamente il messaggio dell'applicazione, comparendo nella bacheca dell'utente, viene visto dagli amici di quell'utente, che a loro volta si fidano della scelta dell'amico e cliccano per vedere il video shock. E si ricomincia.

I commenti qui sotto segnalano altri casi analoghi in italiano, come per esempio "Guardate come e' diventato questo big mac dopo due settimane!!", che ha totalizzato 364,812 "mi piace".

Facebook può mettere tutte le avvertenze di privacy che vuole, ma se gli utenti le ignorano perché troppo attratti dall'esca di un video che parla di una cosa che li tocca emotivamente ("Morire per un SMS? Allora non posso più mandare messaggini?"), c'è poco da fare. È come pretendere che una falena non vada a bruciarsi contro una lampadina accesa in una notte d'estate.

Attacchi come questi, basati sull'emozione, sono all'ordine del giorno su Facebook. Se ci cascate, andate nelle impostazioni delle applicazioni in Facebook e cliccate sulla X per rimuovere l'applicazione che avete autorizzato per errore. Confermate la vostra richiesta e poi ripulite la vostra bacheca dai messaggi generati dall'applicazione. Infine chiedete di fare altrettanto agli amici che ve l'hanno segnalata e provate ad essere un po' più cauti in futuro.

Nessun commento: