Social Injection, questo sconosciuto

Che cos’è il social injection?

Letteralmente “iniezione sociale” è una nuova frontiera dell’hacking.
Si basa sulla ricerca di informazioni personali di ignari utenti che utilizzano social network, blog e forum con l’intento di riutilizzarli per fini secondari, come lo steal di password o account di home banking.

Avete mai provato a cercare il vostro nome o nickname su google e scoprire i risultati? Sicuramente si.
Avete visto quante informazioni vengono fuori? La vostra pagina di facebook, quella di netlog, linked in ecc…

Ecco il social injection si basa su questo.

Sappiate che un hacker, ma anche un banale utente, può utilizzare tutte queste informazioni per ritorcerle contro di voi. Come?

La spiegazione è più semplice del previsto.

Avete un account di posta?
Si? Bene.

Sapete come si recupera la password del vostro account di posta?

Beh ci sono due modi.

  • Con l’invio di una mail ad un account secondario
  • Con la domanda segreta !!!

Beh ora andate a vedere qual’è la domanda segreta :)

  1. Il nome del vostro animale
  2. Il luogo di nascita di vostra madre
  3. Il vostro cantautore preferito
  4. Il vostro personaggio storico preferito

Vi sentite già in pericolo vero? :)

Tutte queste informazioni sono tutte facilmente reperibili su internet con una semplice ricerca sul web!

Facciamo un piccolo esempio:

Cerchiamo su google “contatti msn” e apriamo uno qualsiasi dei primi siti; questo è quello che ci troveremo davanti:

Centinaia di indirizzi email e piccole frasi che descrivono l’interessi della persona (non stiamo a vedere quali :) )

Beh, prendiamo un indirizzo a caso e proviamo a cercarlo sempre su google (se la ricerca dell’indirizzo email non dovesse produrre tanti risultati provate con solo la prima parte dell’indirizzo, la maggior parte delle volte infatti identifica il nick name dell’utente):

Contatti di windows live, net log, forum…anche domande dove viene chiesto se sia possibile rubare le password ad altri (casualità? :) )

E datemi retta. Questa è solo una piccola ricerca. Con qualche minuto in più possiamo raddoppiare anche le informazioni utili.

Adesso esaminiamo più attentamente i risultati:

Abbiamo già delle descrizioni dell’utente:

  • Mi chiamo xxxx yyyyy
  • Vivo a zzzzzzz

Per adesso fermiamoci qua. Torneremo a questa pagina più tardi:

Adesso passiamo alla vera azione:

Prendiamo l’indirizzo email del nostro malcapitato che sappiamo risieda su hotmail e andiamo a questo indirizzo:

https://account.live.com/ResetPassword.aspx?mkt=IT-IT&ru=https://login.live.com/login.srf%3flc%3d1040%26wa%3dwsignin1.0%26rpsnv%3d11%26ct%3d1256115607%26rver%3d6.0.5285.0%26wp%3dMBI%26wreply%3dhttp:%252F%252Fmail.live.com%252Fdefault.aspx%26id%3d64855%26mkt%3dit-it%26bk%3d1256115608%26lc%3d1040%26vv%3d650&lc=1040

Inseriamo la mail, il captcha e clicchiamo su continua:

Adesso ci troveremo di fronte alle due opzioni di cui parlavamo prima:

  1. Utilizza la località di residenza e la domanda segreta per verificare la mia identità
  2. Inviami tramite posta elettronica istruzioni per reimpostare la password

Scegliamo di utilizzare la domanda segreta e ci troveremo davanti questa pagina:

Siamo al dunque:

Cosa ci viene chiesto?

Beh lo stato….facile Italia,

La città e il cap… Beh anche questo lo sappiamo ce lo dice l’utente :)

E la domanda?

Personaggio storico preferito

Beh, inutile dire che i tentativi a questa domanda potrebbero essere anche casuali…

  • Alessandro Magno
  • Giulio Cesare
  • Leonardo Da Vinci

Ma credetemi basta veramente poco per rispondere a questa domanda!!!

Un gruppo su facebook…una domanda su yahoo answer, un messaggino su badoo o su un forum ed il gioco è fatto.

Inseriamo la domanda e potremmo reimpostare la password ed avere il così il completo accesso al suo indirizzo di posta e così a tutto ciò che ha salvato al suo interno.

Questa procedura è più o meno uguale per tutti gli account di posta e il modo per arrivare alla risposta può variare ma il succo rimane lo stesso.

Spero che questo topic vi possa servire per capire i potenziali rischi che i social comportano e possa darvi una mano a difendervi dai malintenzionati.

Che ne dite di correre a cambiare (o proprio togliere) la domanda di sicurezza del vostro account di posta? :)

Enjoy

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *