Backlit keyboard

Come Facebook ha aiutato un hacker a rubare un account

Cosimo Alfredo Pina

Aaron Thompson è un ventitreenne del Michigan il cui hobby è quello di gestire diverse pagine su Facebook con un discreto seguito. Forse proprio per questo la scorsa settimana Aaron è stato preso di mira da un hacker che non solo è riuscito ad entrare nella sua casella mail, ma con un manovra di ingegneria sociale è riuscito ad ingannare il supporto Facebook, in verità con un escamotage abbastanza banale.

Il tutto è venuto alla luce quando all’apertura di Facebook Aaron si è visto tagliato fuori dal suo account senza possibilità di recuperare la password tramite email o telefono, visto che questi dati erano stati cambiati. Dopo un attimo di panico la vittima è andata a controllare la sua mail in cerca di indizi e qui ha infatti trovato una conversazione che lui personalmente non ha mai avuto con il supporto di Facebook.

Il malintenzionato ha infatti chiesto, con un messaggio molto semplice e senza dare troppe spiegazioni, di rimuovere la protezione in due step, quella che richiede l’inserimento di un codice di verifica ricevuto via SMS.

“Ciao. Non ho più accesso al mio numero di telefonia mobile. Per favore disattivate il generatore di codice e il sistema di approvazione del login del mio account. Grazie”

A questo punto Facebook ha spiegato al finto Aaron che l’unico modo per disattivare queste protezioni era quello di inviare una copia di un documento, per provare la sua effettiva identità. Per l’hacker è stato facile aggirare questa “protezione”, in quanto ha realizzato un passaporto americano falso, i cui unici dati veri erano nome e cognome legati all’account in questione.

Nonostante il documento falso, Facebook ha sbloccato le protezioni, permettendo all’hacker di cambiare a suo piacimento password, email e numero di telefono associato.

“Grazie per aver verificato la tua identità. Adesso dovresti poter effettuare il login. Abbiamo inoltre disabilitato l’approvazione dei login per aiutarti, in futuro, ad evitare di rimanere tagliato fuori dal tuo account.”

Il provvedimento è stato efficace, peccato che a rimanere fuori sia stato poi l’effettivo proprietario dell’account. Fortunatamente il tutto è durato solo un giorno e senza particolari conseguenze, visto che l’hacker si sarebbe limitato a mandare qualche messaggio privato agli amici e ad offendere la sua ragazza, senza andare a danneggiare il suo lavoro/passione.

LEGGI ANCHE: Chrome vuole fermare il phishing lottando contro l’ingegneria sociale

Facebook, in risposta all’indagine effettuata dai colleghi di Motherboard, ha confermato il tutto ammettendo che “accettare questo documento è stato un errore che ha violato le nostre politiche interne e questo caso non è la norma”.

Un errore che non ha portato a disagi irreparabili, ma che ci ricorda quanto sistemi di sicurezza avanzati e sempre maggiori livelli di protezione siano sempre collegati all’anello debole dell’uomo e di come gli hacker con cattive intenzioni si stiano sempre più adeguando a sfruttare l’ingegneria sociale al pari di quella prettamente informatica.

Via: MotherboardFonte: Reddit