Navigaweb.net logo

Entrare nel Facebook di un altro: tecniche e rischi

Aggiornato il: Scritto Da: - @pomhey
Riassumi con:
Analisi tecnica dei metodi per accedere ai profili social altrui: reset credenziali, furto di sessione e keylogger. Come difendersi dalle intrusioni
Hackerare Facebook Tutti gli aspiranti hacker "della domenica" sperano di alzarsi un giorno e, con due clic sulla tastiera, entrare facilmente nell'account Facebook della vittima designata, così da poter vedere tutto ciò che viene condiviso o i messaggi inviati agli altri amici. Oltre a violare tutte le leggi sulla privacy e sulla proprietà privata (di fatto l'account è una proprietà, quindi violarla prevede contro delle leggi molto severe), entrare nel Facebook di qualcun altro non è così semplice come lo descrivono in giro, sono necessarie delle tecniche di ingegneria sociale ben studiate, spesso su misura della vittima.

Contrariamente all'immaginario cinematografico fatto di codici a scorrimento rapido, la violazione di un profilo avviene quasi sempre sfruttando l'anello debole della catena: il fattore umano. Non servono supercomputer per superare le difese di Meta, ma spesso bastano pochi attimi di distrazione o una gestione imprudente delle proprie credenziali. Esaminiamo le procedure logiche e gli strumenti software realmente esistenti che permettono l'intrusione, analizzando come l'evoluzione della sicurezza informatica stia spostando il focus dalle password al furto di identità digitale.

LEGGI ANCHE: Account Facebook perso, rubato o compromesso, come risolvere

Il reset della password tramite accesso fisico

Il metodo più pragmatico e diffuso non richiede alcuna competenza di hacking, ma si basa sull'accesso temporaneo allo smartphone o al computer della vittima. Il sistema di recupero credenziali, pensato per aiutare gli utenti smemorati, è la prima porta d'ingresso per un intruso.

Conoscendo l'indirizzo email o il numero di telefono collegato al profilo, è possibile richiedere il ripristino della password dalla pagina di login. Facebook invia un codice a 6 cifre via SMS o email. Se il telefono bersaglio ha le notifiche visibili nel blocco schermo, il codice può essere letto senza sbloccare il dispositivo. Una volta inserito il codice sul dispositivo dell'attaccante, viene impostata una nuova password, tagliando fuori il proprietario originale. Per nascondere le tracce, l'intruso deve cancellare immediatamente l'SMS o la mail ricevuta.

Dispositivi condivisi


Senza essere dei grandi hacker è possibile entrare nel Facebook di un'altra persona sfruttando una delle debolezze più comuni in casa: i computer condivisi tra più utenti.
PC condiviso

Questo è un errore molto comune in ambito familiare: si usa un solo account non protetto per il PC desktop di famiglia (che usano tutti) e, accedendo al nostro account Facebook da qualsiasi browser, esso può essere visualizzato da chiunque si trovi seduto davanti al computer, spacciandosi per noi.

Ovviamente questo tipo di errore può essere evitato facilmente cancellando sempre i cookie su tutti i browser che utilizziamo oppure creando un account utente protetto per ogni membro della famiglia, come visto anche nella nostra guida Come creare un account locale su Windows.

Furto di Sessione e Cookie (Session Hijacking)

Questa è la tecnica più moderna e pericolosa, l'unica capace di aggirare l'Autenticazione a Due Fattori (2FA). Quando si effettua l'accesso a Facebook e si spunta la casella "Resta collegato", il browser salva un piccolo file chiamato cookie di sessione. Questo "pass" digitale dice a Facebook che l'utente è già verificato, evitando di chiedere nuovamente password e codici 2FA.

Gli attaccanti non cercano più la password, ma rubano questo cookie. Ciò avviene spesso tramite estensioni del browser malevole o software apparentemente innocui (come convertitori PDF o giochi crackati) che, una volta installati sul PC della vittima, copiano i cookie e li inviano all'hacker. L'intruso può quindi "iniettare" questi cookie nel proprio browser ed entrare nel profilo della vittima trovandosi già loggato, senza mai conoscere la password reale. È il metodo principale con cui vengono compromessi i canali YouTube e le pagine Facebook di alto profilo negli ultimi anni.

Le password memorizzate nel Browser

La pigrizia spinge molti utenti a salvare le credenziali direttamente nel browser per comodità. Chi riesce a mettere le mani sul computer sbloccato della vittima può recuperare questi dati in pochi secondi senza installare nulla.

Su Google Chrome o Edge, digitando chrome://settings/passwords nella barra degli indirizzi o accedendo al Gestore delle Password, si visualizza l'elenco dei siti salvati. Cliccando sull'icona dell'occhio accanto a Facebook, la password appare in chiaro. Sebbene i sistemi operativi moderni richiedano il PIN di Windows o l'impronta digitale per mostrare il dato, in ambito domestico o tra conoscenti questi codici di sblocco sono spesso noti o disabilitati.

Keylogger: intercettare la digitazione

Keylogger

I Keylogger sono software che registrano ogni tasto premuto sulla tastiera. Sebbene l'uso sia calato a causa del miglioramento degli antivirus (come Windows Defender che li rileva quasi istantaneamente), rimangono uno strumento efficace su PC non aggiornati o se l'attaccante riesce a creare un'eccezione nell'antivirus.

Un esempio storico in questo ambito è Revealer Keylogger. Nella sua versione gratuita, lavora in background intercettando username e password nel momento esatto in cui vengono digitati. Il file di log viene salvato localmente e richiede un successivo accesso fisico alla macchina per essere letto. Le versioni avanzate o i RAT (Remote Access Trojan) inviano questi report via email, ma la loro installazione richiede competenze tecniche superiori per evitare il blocco immediato da parte dei sistemi di sicurezza.

App di monitoraggio e Parental Control

Sui dispositivi mobili, entrare "da remoto" è quasi impossibile senza la collaborazione involontaria della vittima. Tuttavia, le app di Parental Control o i software anti-furto, se installati con dolo, diventano potenti strumenti di spionaggio. Queste applicazioni permettono di leggere notifiche, vedere la posizione e monitorare le attività social.

Applicazioni legittime come Google Family Link sono potenti ma visibili. Esistono però varianti commerciali ("Stalkerware") che si nascondono nel sistema. Per installarle è necessario avere lo smartphone della vittima sbloccato per diversi minuti. Su iPhone, questo tipo di intrusione è molto difficile a meno che il dispositivo non abbia il Jailbreak o non si conoscano le credenziali iCloud per scaricare i backup dei dati.

Phishing: l'inganno visivo

Phishing

Quando la tecnologia fallisce, si ricorre all'ingegneria sociale. Il Phishing rimane la tecnica regina per rubare credenziali a distanza. L'attaccante crea una pagina web identica a quella di login di Facebook ma ospitata su un dominio diverso (es. facebook-verify-security.com). Inviando il link con una scusa allarmante ("Qualcuno sta entrando nel tuo profilo, cambia password subito"), si induce la vittima a inserire i propri dati, che vengono spediti direttamente al database dell'hacker.

Queste email trappola chiederanno alla vittima di reinserire i dati d'accesso di Facebook in una pagina malevole creata ad hoc (spesso del tutto simile alla pagina di Facebook originale) per problemi di login o per altri tipi di problemi, spesso citati per creare il panico nella vittima ("il tuo account Facebook verrà cancellato", "Facebook diventerà a pagamento se non inserisci subito i dati" etc.). Usando delle raffinate tecniche di ingegneria sociale l'utente spaventato inserirà senza troppi problemi le sue credenziali Facebook nella pagina creata dall'hacker, regalando di fatto i suoi dati d'accesso.

Seguire la rotta di Navigaweb significa imparare a leggere sempre l'URL nella barra degli indirizzi prima di digitare qualsiasi credenziale: se il dominio non è esattamente facebook.com, si è di fronte a una trappola, indipendentemente da quanto la grafica sia convincente.

A tal proposito possiamo leggere anche la nostra guida Riconoscere e-mail false, con truffa, non autentiche.

Come hackerare Facebook


Con l'arrivo massiccio di HTTPS e SSL su tutte le pagine Facebook il semplice sniffing dei pacchetti scambiati in rete (magari in una rete Wi-Fi pubblica) non è più una strada percorribile: i dati d'accesso sono criptati dal PC fino al server, snifferemmo solo dei dati cifrati inutilizzabili.
Ma ci sono ancora alcune efficaci tecniche che possono utilizzare gli hacker per accedere agli account Facebook degli altri.

Keylogger


Il keylogger è un programma o un dispositivo hardware malevolo studiamo per registrare ogni tasto premuto sulla tastiera, memorizzando tutte le digitazioni in un file cifrato che può essere recuperato dall'hacker sia tramite Internet sia recuperando fisicamente il keylogger o il file da esso generato. Gli hacker recuperano l'email e la password di Facebook semplicemente leggendo le nostre digitazioni sulla tastiera.

I keylogger software sono a tutti gli effetti dei virus, quindi molti antivirus reagiscono ad esso e ci tutelano dalla minaccia di intercettazione bloccando l'esecuzione del programma. I keylogger hardware sono molto più sofisticati e difficili da intercettare: questi altro non sono che dei piccoli dispositivi (PS/2 o USB) che si interpongono tra il collegamento della tastiera con filo e la porta del PC, intercettando i dati durante il transito. Tutti i tasti premuti vengono memorizzati nella memoria interna del keylogger hardware, pronti per essere spiati. Il PC della vittima non si accorgerà di nulla, così come l'antivirus (che non può intercettare un keylogger hardware).
Al termine del lavoro di spionaggio l'hacker non dovrà far altro che recuperare fisicamente il keylogger e scaricare i dati in esso contenuto per entrare nel Facebook di un altro con estrema facilità.

Tecniche avanzate di hacking

Attacco MITM (Man-in-the-Middle)


Un metodo per poter accedere al Facebook di qualcun altro è realizzare un difficile attacco Man-in-the-Middle, dove l'hacker si sostituisce ad uno dei server utilizzati per la connessione e riesce così a catturare i dati d'accesso tramite una pagina Facebook fasulla, anche se del tutto simile all'originale.
MITM
Visto che le pagine sono crittografate e certificate, potrebbe essere molto difficile per l'hacker realizzare questo tipo d'attacco, visto che dovrà ingannare i moderni sistemi di sicurezza del browser (che segnala quando una pagina presenta dei certificati non autenticati o sicuri).
Ma la pigrizia e l'incapacità di identificare i pericoli potrebbero portare molti utenti a fidarsi ciecamente di ciò che vedono sul monitor, fornendo inconsapevolmente tutti i dati d'accesso all'hacker "in ascolto" sulla linea Internet (di solito usa un router con AP identico alla nostra rete Wi-Fi, così da poter hackerare indisturbato). Se questo tipo d'attacco riesce, è difficilissimo risalire all'autore dell'attacco così come è praticamente impossibile capire se siamo ancora sotto attacco o no!

Clonazione dispositivi


Questa è decisamente la tecnica hacker più avanzata, utilizzata dagli hacker d'alto livello e difficilissima da applicare visto che in molti casi il programma andrà configurato manualmente (quindi sono necessarie ottime conoscenze di programmazione in tutti i linguaggi attualmente conosciuti).
Clonazione
L'hacker si avvicina alla vittima inconsapevole avvia un'app o uno script sul suo smartphone in grado di "clonare" tutte le app e i dati contenuti nello smartphone della vittima. Rispetto alle clonazioni cinematografiche che vediamo nelle serie TV o nei film (due-tre secondi e via!) questo processo di copia più richiedere anche ore, visto che si avvale di NFC, Wi-Fi Direct e Bluetooth per effettuare la clonazione e, in caso di molti dati da copiare, può essere richiesto un quantitativo di tempo elevato. I due telefoni devono rimanere vicini abbastanza per effettuare il processo di copia, quindi l'hacker necessiterà di una situazione in cui abbandoniamo lo smartphone in un punto preciso per tanto tempo: mentre dormiamo, mentre siamo sotto la doccia, mentre siamo a lezione all'università (magari abbiamo lasciato lo smartphone alla cattedra del professore per registrare l'audio della lezione di 2 ore...).
Al termine del processo di copia lo smartphone dell'hacker sarà del tutto identico (lato software) allo smartphone della vittima, quindi potrà accedere senza problemi all'app di Facebook e a qualsiasi altra informazione personale. Le app di clonazione sono difficili da utilizzare e da programmare, ma sono in commercio (nella Darknet) anche dispositivi smartphone pronti all'uso per la clonazione di qualsiasi smartphone moderno, anche se richiedono comunque capacità fuori dal comune per poter essere preparati alla copia.

Come difendere l'account Facebook dagli hacker


Dalla prima parte della guida abbiamo capito che ci sono ancora tanti metodi per entrare nel Facebook di un altro, quindi dovremo adottare delle strategie per difenderci adeguatamente.

Un primo sistema di difesa contro gli hacker è l'autenticazione a due fattori, disponibile anche su un sito come Facebook: all'accesso con le nostre credenziali dovremo inserire un codice inviato tramite SMS o tramite app dedicata per confermare la nostra identità.
Protezione Facebook
Possiamo attivare questo sistema di sicurezza (efficace contro i keylogger hardware, software, MITM e contro il phighing) aprendo il nostro account Facebook, facendo clic in alto a destra sul menu a forma di freccia verso il basso, facendo clic su Impostazioni -> Protezione e accesso ed infine abilitare la voce Usa l'autenticazione a due fattori.
Per approfondire possiamo leggere la nostra guida Siti / app dove attivare la verifica in due passaggi della password.

Il secondo metodo per evitare gli hacker prevede l'utilizzo di un antivirus potente, che vi permetterà di bloccare tutti i keylogger e i link malevoli che possono essere inviati tramite email di phishing.
Per evitare gli attacchi Man-in-the-Middle può essere efficace mascherare ogni traccia della nostra connessione ad Internet utilizzando una connessione VPN quando siamo fuori casa o quando utilizziamo un hotspot pubblico.
VPN
Con la VPN tutto il nostro traffico verrà ulteriormente cifrato e la nostra connessione sarà anonima (anche l'IP sarà mascherato), aumentando considerevolmente la sicurezza durante la navigazione. Per approfondire vi consigliamo di leggere la nostra guida ai Migliori servizi e programmi VPN gratuiti per navigare sicuri e liberi.

Gli attacchi più pericolosi ed efficaci possono essere effettuati contro il nostro smartphone, quindi consigliamo di concentrarci su di esso per poter proteggere al meglio il nostro account Facebook.
Smartphone
Oltre al buonsenso (evitiamo di lasciare lo smartphone incustodito in un punto preciso per più di 15 minuti) possiamo proteggere il nostro smartphone utilizzando una schermata di blocco con password o con blocco biometrico, così da impedire l'uso a qualsiasi hacker improvvisato; per approfondire possiamo leggere qual è la protezione smartphone e sblocco schermo più sicuro.
Dopo aver bloccato l'accesso allo smartphone, dobbiamo proteggerlo dal pishing e dai malware in grado di rubare le informazioni d'accesso delle app, in particolare se utilizziamo un dispositivo Android; a tal proposito può essere una buona idea installare un antivirus per Android, scegliendo tra quelli visti nel nostro approfondimento Migliori antivirus per Android gratis.

Altro che le persone chiedono sull'argomento

  • Esistono siti per hackerare Facebook inserendo solo il nome? Assolutamente no. Tutti i portali che promettono l'accesso inserendo l'URL del profilo sono truffe (scam) progettate per rubare dati all'aspirante hacker o fargli compilare sondaggi pubblicitari. Nessuna vulnerabilità pubblica permette questo tipo di accesso.
  • Come faccio a sapere se qualcuno è entrato nel mio profilo? Bisogna controllare la sezione Impostazioni e Privacy > Registro Attività e la voce Dispositivi da cui hai effettuato l'accesso. Se compaiono smartphone o città sconosciute, c'è stata un'intrusione.
  • È possibile vedere chi visita il mio profilo Facebook? No. Facebook ha confermato più volte che non esiste questa funzione e le app di terze parti che promettono di farlo sono false o raccolgono i dati dell'utente in modo illecito.
  • Come ci si difende dal furto di sessione? Oltre alla 2FA, è fondamentale non installare estensioni browser di dubbia provenienza, non scaricare software "crackati" e fare log-out periodico dai dispositivi, invalidando così i vecchi cookie di sessione.




Posta un commento