[Phishing] Come rubare la password di Facebook

Torniamo a parlare di phishing, questa volta con un tema caldo: rubare la password di Facebook. Prima di iniziare, è giusto dire che l'obbiettivo di questo post è quello di avvisare i malcapitati visitatori di come sia possibile cadere in trappola di persone con obbiettivi tutt'altro che onesti!

Rubare la password di facebook, non è un'impresa sovrumana. Non bisogna essere hacker per rubare password: molte volte si rubano password non per la "bravura" di chi l'ha rubata ma per la distrazione di chi se la fa rubare.
Nella nostra casella di posta si ricevono ogni giorno decine di messaggi di ogni tipo. Molti di questi sono SPAM: tra gli spam, in genere, ci sono anche messaggi truffaldini che tentano di rubare le nostre credenziali di accesso a social network, home banking ecc.

Sicurezza: allarme funzione MAIL di PHP

Nei giorni scorsi vi parlai di come può capitarvi di ricevere una mail che abbia come mittente lo stesso indirizzo del destinatario.

Se vi state chiedendo come è possibile la risposta è piuttosto semplice: PHP ha una funzione che permette di inviare mail dal web. Questa funzione è molto personalizzabile, perchè da questa si può scegliere sia il destinatario della mail che il mittente della stessa.

La funzione incriminata è la funzione mail() che viene utilizzata in questo modo:

mail($destinatario, $oggetto, $mail, $mittente);

Il campo mittente è personalizzabile. Di conseguenza un malintenzionato può utilizzare questa funzione a scopo fraudolento. Non poche sono le applicazioni in rete che permettono di mandare mail false (i cosiddetti fake-mail).

Soluzioni? Si, una è possibile è ve la voglio proporre qui. Assegnare alla variabile mittente un valore predefinito che prenda nome dall'hosting che lo ospita. Ad esempio se il mio sito è

http://antibufalaonline.blogspot.com

Dare alla funzione mail, il valore di default no-reply@antibufalaonline.blogspot.com

Se avete altre idee su come combattere questo fenomeno, lasciateci un commento: apriamo una discussione a riguardo.

Mittente e destinatario uguali

Quando arrivano le mail truffaldine generalmente non abbiamo il vizio di controllare il mittente. Questo controllo è spesso inutile, perchè è molto facile clonare un indirizzo di posta elettronica. Tuttavia spesso capitano cose assurde...

Giusto per la cronaca, l'altro giorno leggevo qualche mail che mi erano arrivate nella posta elettronica catalogate come SPAM. Fortunatamente Google Mail ha un buon filtro SPAM per le mail, tuttavia spesso le controllo perchè un computer è pur sempre un computer.

Leggendo leggendo il mio occhio capita su una mail molto curiosa. Potreste chiedervi: contenuto bizzarro? Bufala troppo evidente? In un certo senso si, ma sapete perché?

Perchè il mittente della mail coincideva con il destinatario.

Ovvero sembrava che io avevo scritto una mail a me stesso. Assurdo no? La mail era a scopo pubblicitario, ma il modo con cui è stata mandata non lascia presagire niente di buono. Questo perchè io sono dell'idea che l'indirizzo e-mail è un vero e proprio dato personale. Quindi rappresenta a tutti gli effetti un'identità. Tuttavia, come dicevo prima, è un dato clonabile con molta facilità. Questo, "fortunatamente", solo per gli invii. Infatti non è possibile ricevere mail di un altra persona, a meno chè non siamo riusciti a scoprirne la password. Ma questa non è una clonazione.

Se anche voi avete avuto di questi episodi, lasciateci un commento per condividere l'esperienza.

Come scegliere una password

Eccoci di nuovo, per una nuova puntata di Icefox Antibufala. Quello di cui voglio parlarvi oggi è il problema delle password. Spesso si parla di password vulnerabili, password da scegliere con cura. Bene, inizio il post dicendo: ogni password è vulnerabile se viene usata in modo sconsiderato.

Per modo sconsiderato si intende rivelare la propria password a terzi, oppure far si che essa possa essere scoperta facilmente.

Detto questo, noi Icefox vogliamo darvi qualche consiglio su come scegliere le password. Innanzi tutto scegliamo una password che possiamo ricordare. Scegliere una password complicatissima, e poi non ricordarla può essere dannoso. Immaginiamo infatti di avere la password per la mail di lavoro: se non la ricordassimo potremmo bloccarci col lavoro e non andare più avanti.