Facebook, nuovi furti delle credenziali da smartphone: come difendersi
Gli hacker, sfruttando degli URL fasulli, stanno rubando molte credenziali agli utenti di Facebook mobile, ecco come difendersi e come riconoscere la trappola
Un nuovo attacco hacker sta circolando su Facebook, e colpisce soprattutto coloro che effettuano l’accesso tramite browser dello smartphone. Non si tratta di un vero e proprio malware ma di una tecnica per modificare l’URL d’accesso al social media e rubare le credenziali degli utenti.
Solitamente un URL è composto da tre parti. Il dominio (obbligatorio), che identifica il nome del sito. Un sottodominio, che è facoltativo, e un percorso (anche questo facoltativo) che indica sommariamente dove ci troviamo. L’URL ufficiale della versione mobile di Facebook è m.facebook.com. Dove la emme identifica che si tratta della versione mobile, mentre Facebook è il dominio. I cyber criminali stanno sfruttando la disattenzione di molti utenti e rimandano a pagine d’accesso non affidabili, come per esempio: http://m.facebook.com—validate—step1.rickytaylk.com/sign_in.html. Qui è stato inserito un sottodominio, all’apparenza innocuo, che però serve all’hacker per riuscire a spiare le nostre credenziali.
Come agisce la truffa
Una volta che inseriamo le credenziali su questa pagina d’accesso fasulla il sito ci dirà che c’è stato un errore di autenticazione. In quel preciso momento l’hacker avrà già rubato la nostra password. I trattini tra facebook.com e “validate” sono inseriti in maniera subdola. Su un PC, infatti, noteremo l’intero URL ma nella versione mobile noteremo solo m.facebook.com più qualche trattino. Se non prestiamo particolare attenzione, dunque, riconoscere questo URL falso è molto difficile. I ricercatori per la sicurezza informatica hanno rintracciato URL falsi come questo in conversazioni email, in messaggi di testo, nelle app per la messaggistica e all’interno dei social media stessi.
Come difendersi
Ci sono alcune tecniche da utilizzare per distinguere questi attacchi phishing. Innanzitutto il consiglio è quello di accedere ai social e ai nostri profili privati digitando manualmente l’indirizzo della piattaforma social, così non potremo cadere in trappola. Inoltre evitiamo come sempre di cliccare su link poco affidabili che ci arrivano su WhatsApp o via email. Evitiamo poi di utilizzare la stessa password su tutti i nostri account. Altrimenti l’hacker dopo averci rubato le credenziali Facebook potrebbe avere accesso anche al nostro conto bancario, o ai dati di un e-commerce. Per ricordarci tante password diverse basta usare un password manager. Il consiglio migliore però è quello di attivare la verifica in due passaggi, in questo modo al cyber criminale non basterà la nostra password per accedere al profilo.