Il furto di credenziali è da sempre uno degli obiettivi principali di chi sferra attacchi online mirati a rubare i dati dei titolari di account email, home banking, profili social e quant’altro. Ovviamente anche piattaforme elaborate come Facebook soffrono da anni continui tentativi di intrusione da parte di malintenzionati che mirano ad entrare nelle pagine di persone o aziende per sferrare a loro volta campagne malevole via chat o semplicemente per estrapolare dati personali.
Per porre un freno a questi pericoli Meta, la società di Mark Zuckerberg che controlla tra gli altri Facebook ed Instagram, ha pubblicato nei giorni scorsi una lista di app malevole che riuscivano ad estrapolare i dati d’accesso degli utenti. Questa lista, elaborata solo durante l’anno in corso, contiene ben 400 app di ogni tipo, a partire da false VPN, passando per videogiochi fino ad arrivare ad app per il lavoro d’ufficio. Di esse, la stragrande maggioranza erano presenti sui sistemi Android mentre solo una quarantina era per i sistemi Apple, tuttavia erano tutte scaricabili dagli store ufficiali e ciò le rendeva molto pericolose.
La procedura per rubare le credenziali era semplice ed utilizzava la semplice strategia della richiesta di accesso ai servizi dell’app tramite le credenziali Facebook, molto utilizzata anche per app e giochi legittimi. Dopo queste operazioni, però, non veniva aggiunta alcuna funzionalità in più di quelle disponibili senza login. La truffa però funzionava proprio così, promettendo feature “imperdibili” soltanto dopo l’accesso effettuato mediante Facebook.
Google ed Apple, dopo la pubblicazione della lista di app malevole avvenuta su Github, hanno immediatamente provveduto alla rimozione di quest’ultime dagli store, dove infatti sembrano essere sparite definitivamente. Ciò che permane è tuttavia il danno, poiché la stima fatta da Meta è che almeno un milione dei suoi utenti hanno creduto a queste truffe dando in pasto ad agenti malevoli i loro dati e le loro password, che se utilizzate anche per altri accessi potrebbero metterli in grandissima difficoltà.
Ovviamente i consigli in questo caso sono principalmente due. Il primo è di cercare di scaricare sempre app “popolari” o comunque raccomandate senza credere a strumenti dalla dubbia provenienza. Il secondo è quello di cambiare tutte le password una volta che ci si accorge dell’avvenuto furto senza dimenticare di modificare anche quelle di altre piattaforme nel caso in cui si utilizzasse (come spesso accade) la stessa identica chiave.
Fonte: 1