Facebook ha preso coscienza di una nuova tipologia di attacco che sta prendendo di mira gli iscritti al social network, il cosiddetto Self-XSS. La società fondata da Mark Zuckerberg ha infatti aggiornato il proprio sito web di supporto (per il momento solo nella versione inglese; vedere questa pagina), spiegando come il Self-XSS sia un’aggressione mirata, nello specifico, a sottrarre le altrui credenziali d’accesso.
L’attacco ha inizio con l’arrivo di un’e-mail o di un messaggio, tramite Facebook, che presenta una metodologia per impossessarsi delle credenziali d’accesso utilizzate da altri iscritti al social network. Il testo del messaggio (vedere l’immagine a lato), per adesso in inglese, è già abbastanza diffuso e potrebbe ben presto essere tradotto in altre lingue (italiano compreso).
Ovviamente si tratta di un messaggio truffaldino: le istruzioni riportate non consentono assolutamente di mettere le mani sugli username e password altrui ma, invece, si concretizzano in una serie di pericolosi passaggi che portano invece a trasferire agli aggressori i propri dati di accesso. Da qui l’appellativo “Self-XSS“.
I truffatori, infatti, suggeriscono che per impossessarsi delle credenziali d’accesso di un altro utente sarebbe sufficiente cliccare con il tasto destro sulla pagina Facebook di qualsiasi persona quindi scegliere Ispeziona elemento od Esamina elemento dal menù contestuale ed incollare il codice riportato.
Tale codice, in realtà, non fa nulla di quanto promesso: esso invece provoca l’inserimento di istruzioni JavaScript dannose all’interno della pagina Facebook alterandone il comportamento (ecco perché si parla di aggressione cross-site scripting o XSS) e provocando l’invio di informazioni personali e dati sensibili a terzi.
Come suggerisce anche Facebook nella sua pagina di supporto, quindi, per difendersi gli utenti debbono semplicemente astenersi dall’incollare qualunque genere di codice all’interno del browser. Allo stesso tempo, viene caldamente consigliato di informare Facebook su qualunque campagna spam o, peggio, su qualsiasi tentativo di truffa (vedere queste indicazioni).
Per approfondire, suggeriamo la lettura del nostro articolo Facebook username e password: come vengono rubati, come difendersi.