Vuoi sapere chi ti ha guardato il profilo Facebook? Beh, semplicemente non puoi

Sarà capitato a tantissimi di noi di vedere quelle pubblicità pop-up che promettono di farci scoprire chi ha visitato il nostro profilo Facebook semplicemente visitando un sito web o scaricando una app e inserendo le credenziali del nostro account.

Ma si tratta irrimediabilmente di truffe. Soprattutto perché non esiste modo, grazie all'infrastruttura del social network stesso, di rintracciare questo tipo d'informazione.

Come dice Facebook stessa" No, Facebook non permette di tracciare chi visualizza il tuo profilo. Anche le applicazioni di terze parti non possono fornire questa funzionalità. Se vi imbattete in una app che afferma di offrire questa funzionalità, vi preghiamo di segnalarla".

Ma purtroppo questa nozione non è nota a tutti.

La riprova è la recente scoperta di un intero database – gestito dai Criminal Hacker – in cui erano contenuti oltre 100mila tra username e password di utenti Facebook che avevano provato a scaricare questo tipo di applicazione truffa o a usare siti canaglia che promettevano di rivelare queste informazioni (che vale la pena ripetere – non possono essere estrapolate!).

Coloro i quali si sono trovati vittime di questa truffa hanno visto i propri profili essere utilizzati come mezzo per diffondere spam attraverso commenti ai post. Spam che inevitabilmente riportava ad altri siti truffa in modo da alimentare il circolo vizioso di truffe.

Nella maggior parte dei casi si trattava di pagine dedicate alla raccolta di bitcoin sotto forma di investimenti – che inevitabilmente finivano nelle tasche dei Criminal Hacker.

Secondo i ricercatori di vpnMentor, che per primi hanno rintracciato il database di credenziali Facebook, non ci sono indicazioni che questi dati siano stati utilizzati o siano finiti nelle mani di altri Criminal Hacker.

Anche se è ovviamente presto per esserne certi…

Il bottino

Il database conteneva 13.521.774 record di almeno 100mila utenti di Facebook.

È stato aperto tra giugno e settembre di quest'anno ed è stato scoperto il 21 settembre e chiuso il 22 settembre.

I dati comprendevano le credenziali e gli indirizzi IP, le linee di testo per i commenti che i truffatori avrebbero fatto sulle pagine di Facebook (tramite un account hackerato) che indirizzavano le persone verso siti web sospetti e fraudolenti e dati di informazioni di identificazione personale (PII) come e-mail, nomi e numeri di telefono delle vittime.

I ricercatori hanno affermato che per confermare che il database fosse reale e hanno inserito credenziali di accesso false su una delle pagine web della truffa e hanno verificato che fossero state registrate anche sul database.

In un curioso scherzo del destino, prima ancora che fosse finite le indagini, tutte le informazioni scoperte dai ricercatori sono state cancellate da un altro attacco Criminal Hacker.

Spam ed effetto a catena: la saga delle vittime

La campagna di truffe dello "scopri chi ha guardato il tuo profilo" è attiva a livello globale. D'altronde se c'è qualcosa che accomuna tutti noi è l'innata curiosità.

Inizia tutto da una rete di applicazioni e siti web di proprietà di truffatori che ingannano gli utenti di Facebook a inserire le proprie credenziali promettendo loro di mostrare un elenco di persone che hanno visitato i loro profili di recente.

Non è chiaro come i visitatori siano stati spinti a visitare questi siti web, anche se è facile ipotizzare che sia un misto di ricerche organiche (in fondo queste app truffa fanno leva appunto sulla curiosità umana) tramite Google e l'utilizzo di pubblicità spam.

I ricercatori hanno trovato 29 domini legati a questa rete; i siti web avevano nomi come: askviewer[.]com, capture-stalkers[.]com e followviewer[.]com.

Tipicamente il sito web cercherà di attirare le vittime con frasi del tipo: "Ci sono stati 55 visitatori sul tuo profilo negli ultimi 2 giorni! Continua a visualizzare la tua lista".

Presentando poi un pulsante che dice "Apri la lista!"

Quando la vittima clicca sul pulsante, viene inviata a una falsa pagina di login di Facebook, dove le viene chiesto di inserire le proprie credenziali di accesso. Dopo averlo fatto, appare una pagina di caricamento falsa, che promette di condividere l'elenco completo, e la vittima viene reindirizzata alla pagina Google Play per un'applicazione di analisi di Facebook non correlata.

Facendo questi passaggi i truffatori hanno salvato il nome utente e la password di Facebook della vittima sul database per utilizzarlo in futuro nelle loro altre attività criminali.

Come se non bastasse queste informazioni sono state memorizzate in chiaro, rendendo facile per chiunque abbia trovato il database visualizzarle, scaricarle e rubarle.

Gli aggressori utilizzano poi le credenziali delle vittime per la fase successiva dell'attacco – prendendo il controllo degli account rubati e commentando i post di Facebook pubblicati nella rete delle vittime, con link a un'altra rete di siti web di truffa di proprietà dei truffatori.

Questi siti, come detto, erano stati allestiti per portare avanti un'altra frode con i Bitcoin.

Come rimediare?

Se è capitato anche a voi di rimanere in trappola in una di queste truffe la prima cosa da fare è quella di cambiare le credenziali di accesso.

Inoltre, se si riutilizza la password di Facebook su qualsiasi altro account, è fortemente consigliato cambiarla immediatamente per proteggerli dalle attenzioni dei Criminal hacker.

Non abbassiamo la guardia!