Sulle pagine di SocialCom abbiamo a volte parlato del cosiddetto phishing. Tecnica truffaldina utilizzata dagli hacker per rubare i dati bancari degli ignari utenti, consiste nel far credere ai destinatari di una mail di essere in contatto con una banca, o le poste. Come? Simulando e imitando sito web e indirizzo email degli istituti di credito più famosi.

Qualcosa di simile succede anche sui social, in particolare su Facebook. Prende il nome di clickjacking e, anche se non è possibile quantificare il fenomeno, secondo alcuni esperti è in continua diffusione.

Clickjacking: che cos’è

Ti è mai capitato di vedere un annuncio sulla tua bacheca Facebook con un URL fasullo? Facciamo un esempio. Zalando è uno dei più noti siti di e-commerce nel settore moda. Mettiamo il caso di un rivenditore, molto più piccolo e meno conosciuto, che vuole promuovere una propria offerta. Per farlo, inserisce nel proprio annuncio l’URL di Zalando (che non è il proprio ovviamente), per attirare maggiore attenzione da parte degli utenti. E magari vendere qualche capo in più, vista la fiducia maggiore che i clienti ripongono nel brand Zalando.

Questo è un caso persino ‘innocuo’ (o quasi), anche se va a minare la fiducia di tutti gli utenti nella trasparenza complessiva degli ads. A volte lo stesso trucco può essere usato per diffondere malware in Rete. Magari con lo stesso scopo del phishing. Ti starai chiedendo: ma è davvero possibile fare una cosa del genere? Su Facebook sì, lo ha dimostrato un hacker canadese, Justin Seitz.

Bastano 15 minuti

Seitz, che è anche fondatore di Hunchly, tool per le investigazioni online, ha effettuato un test già nel giugno dello scorso anno. Ha creato un falso annuncio della propria azienda, targettizzando solo se stesso. Nella sezione URL, Seitz ha inserito, al posto dell’indirizzo web di Hunchly, il dominio www.cnn.com, che appartiene allo storico canale televisivo americano. Nel post, invece, ha scritto: “Hunchly è il miglior software per le investigazioni di sempre“, lasciando intuire che fosse una dichiarazione della CNN. Cliccandoci su, però, l’utente era indirizzato su Hunchly. Seitz ha raccontato tutto l’esperimento su Medium:

Sono passati nove mesi da allora. Sarà cambiato qualcosa? Seitz ha ripetuto in questi giorni l’esperimento, stavolta in collaborazione con la testata americana Forbes. Il risultato è stato più o meno lo stesso:

Dopo aver fissato il budget per la campagna e i parametri di targetizzazione, il suo annuncio è stato approvato da Facebook in 13 minuti. L’ads è stato rimosso solo nel momento in cui Seitz ha provato a inserire più dettagli nella profilazione del target. In quel momento, ha ricevuto un messaggio da Facebook che lo informava della rimozione dell’annuncio. Secondo l’hacker, però, il periodo di tempo in cui l’annuncio è rimasto online è stato più che sufficiente per causare danni a eventuali utenti ignari.

La risposta di Facebook

Contattato da Forbes, un portavoce dell’azienda ha sottolineato come alcuni advertiser beccati a utilizzare la tecnica del clickjacking siano stati bloccati. La revisione degli annunci, ha spiegato, è principalmente automatizzata: l’intervento degli esseri umani viene attivato solo in caso di una segnalazione da parte degli utenti o del sistema di filtraggio del sito.

«I domini truffaldini, che hanno l’intenzione di nascondere la reale destinazione di un link con un dominio diverso, sono una violazione delle nostre policy per gli ads», ha spiegato. «Gli annunci che violano le nostre policy riescono a volte a superare i controlli. In quel caso, utilizziamo le segnalazioni dalla community per identificarli e rimuoverli velocemente. Per le violazioni più gravi, le sanzioni aumentano: possiamo arrivare a bloccare l’account dell’advertiser ed eventuali profili connessi».

La soluzione? Fare come Google

Seitz spiega che non avrebbe mai provato l’esperimento su Google: «Se avessi provato su Adwords, mi avrebbero riso in faccia». Un portavoce dell’azienda di Mountain View ha infatti confermato che «ogni modifica del testo dell’annuncio, incluso l’URL, fa scattare un’automatica revisione da parte di un nostro dipendente».