Un gruppo di “cybercriminali” aveva recentemente posto in essere un massiccio attacco “phishing” nei confronti di molti utenti di Facebook. Il meccanismo è ormai noto: all’utente viene richiesto di confermare i propri dati di login al servizio. Tali informazioni sono poi trasmesse sui server remoti gestiti dagli aggressori.
In queste ore, gli account di Facebook degli utenti che sono caduti nella trappola sono utilizzati per inviare messaggi di spam. Alcuni di essi sono però molto pericolosi, come confermato da Barry Schnitt, portavoce di Facebook: “alcune comunicazioni fanno riferimento a siti web contenenti componenti nocivi che vengono installati sul sistema utilizzando tecniche drive-by download“. Con il termine “drive-by download” si fa riferimento a quei programmi che si insediano, in modo automatico, sul sistema dell’utente senza che questi abbia concesso la sua autorizzazione. Questo genere di infezione si può verificare non appena l’utente visiti un sito web “maligno” utilizzando un sistema che non è stato opportunamente “messo in sicurezza” mediante la tempestiva applicazione delle patch via a via rese disponibili dai vari vendor (per maggiori informazioni sulla minaccia “drive-by download”, suggeriamo di consultare questo articolo).
Trend Micro, attraverso le parole del ricercatore Paul Ferguson, ha confermato il pericolo derivante dalla visita di alcuni siti web “linkati” nei messaggi di spam.
Vista la sempre più popolare diffusione del sito di social network (secondo i dati forniti da Facebook, nel mese di Aprile il servizio avrebbe raggiunto i 200 milioni di iscritti), gli aggressori stanno guardando ad esso con sempre maggior interesse.
Gli utenti che ritenessero di essere vittima di un attacco phishing sono invitati a modificare immediatamente le credenziali di accesso al sito.
Facebook non ha precisato quanti sono gli account “violati” in seguito ad attacchi phishing. Schnitt ha solo fatto presente come la recente attività di spam abbia avuto dimensioni contenute rispetto, ad esempio, alla diffusione di Koobface. Diffusosi nel mese di Luglio 2008, il worm Koobface tentava di installare codice nocivo sul sistema dell’utente unitamente ad un keylogger, in grado di sottrarre informazioni sensibili. Koobface, poi, inviava messaggi di spam ai contatti amici attraverso l’interfaccia di Facebook. Con un clic sul link maligno, facente riferimento ad una falsa pagina di YouTube, veniva avviata l’esecuzione del malware.