Molti si staranno chiedendo il perchè di questo post così “particolare”, dal titolo “equivoco” e dal “dubbio contenuto”: vi smentirò, piacevolmente. Qualche giorno fa una mia conoscenza (che vedo soltanto occasionalmente, per puro caso, e con la quale ho rapporti poco più che civili) si è presa addirittura lo scomodo di inviarmi un messaggio che vi riporto qui pari pari (senza abbreviazioni sconce e tradotto in un italiano comprensibile):
Un mio amico mi ha detto che esiste un programma per rubare la password di Facebook, e lui ne ha rubate parecchie. Io ho bisogno di scoprire la password di $Nome_e_cognome, ti posso dare la sua e-mail perchè il mio amico mi ha detto che ci vuole quella ed il programma fa tutto ($indirizzo_mail). Quando hai cinque minuti fammi uno squillo che ti chiamo e mi fai sapere.
Se mi ha snervata questo messaggio? Oh, voi neanche immaginate quanto! Se ha avuto risposta? Certo, e ve la riporto qui:
Innanzitutto ciao eh. Facciamo una cosa: dammi il nome ed il numero del tuo amico, così gli telefono e mi faccio dire il nome del programma, visto che io non conosco programmi che facciano roba del genere. E digli di non dirlo a nessuno se non a me, così io ci metto la gente, lui ci mette questo programma leggendario, apriamo un business a pagamento e ci intaschiamo una bella cosa di soldi alla faccia degli azzeccatoni.
Ovviamente, come prevedevo, non ho ricevuto risposta nè ho sentito più questa persona: esattamente il risultato che volevo. Ma dico, una fesseria migliore dell’amico che conosce il miracolo no, eh? E perchè non ci sei andata dal tuo amico? Cose da pazzi. Ebbene, nel nostro mondo capita anche questo.
Comunque, amici miei, dal mio modo di parlare credo che possiate immaginare la risposta che darò al titolo del post: non è possibile, ad oggi, rubare la password di Facebook di chicchessia tramite nessun tipo di programma (fatta eccezione per i keylogger, ma questo è un discorso a parte che affronteremo tra poco). E vi spiego anche il perchè.
Per conoscere la password di Facebook di una persona deve necessariamente succedere una di queste tre cose:
- siete il proprietario del contatto, quindi la password è ben salda nella vostra mente;
- conoscete l’email (e la password dell’email) che il proprietario del contatto utilizza per entrare in Facebook: in tal caso non ci vuole l’indovino per capire che è praticamente immediato entrare nel contatto di questa persona;
- mettete le mani sul computer del proprietario del contatto Facebook che vi interessa, e notate che ha la password memorizzata nel browser: in questo caso, tramite qualche programmino, potrete beccare tale password “smascherando” i cerchietti neri.
O, altrimenti, non potete combinare niente di niente, a meno che non siate gli addetti alla gestione dei dati persistenti in Facebook ed abbiate un’esperienza tale da decriptare parole cifrate con doppia a 256.
Mi direte, a questo punto: «Tanto tempo fa si potevano rubare le password di MSN, c’era gente che ci riusciva, quindi un programma può essere creato». ALT, fermi. Ci furono soltanto due avvenimenti che scatenarono una fuga di password impressionanti:
- un tremendo bug nei server di Hotmail (parliamo di circa 6 anni fa), che permise a degli hacker di scrivere un “programma” (uno 0day, in gergo tecnico) che potesse entrare direttamente nei server stessi e rubare la password associata all’indirizzo e-mail desiderato; il bug fu risolto dopo qualche settimana, e questo metodo smise di funzionare. Sappiate che, ad oggi, in Facebook come in qualsiasi servizio online il verificarsi di una condizione simile rasenta la probabilità dello 0%, visti i progressi della sicurezza online: non ci sperate.
- il metodo sbagliato di gestire gli accessi ad Hotmail (qui, invece, parliamo di circa 8 anni fa): all’epoca era possibile tentare di accedere ad Hotmail ad oltranza, utilizzando una password errata, senza che nessuno bloccasse l’accesso dopo un TOT di inserimenti sbagliati. Qualcuno capì che, aiutandosi con un programma che generava e tentava di accedere con password casuali (siamo nell’ordine delle centinaia al secondo), c’era una buona probabilità che dopo un certo numero di tentativi il programma trovasse la sequenza di caratteri corretta per entrare in un account (ah, la legge dei grandi numeri…!). Ed anche questa pacchia finì presto: notate come oggi Windows Live, ex Hotmail, vi blocca l’accesso all’account per un lasso di tempo (che, se non sbaglio, corrisponde a 15 minuti) dopo aver inserito la password sbagliata per 10 volte di fila (se non addirittura di meno). E Facebook, come anche la quasi totalità dei servizi online, ragiona nello stesso modo.
Chiaramente, però, per essere assolutamente sicuri di non diventare vittime di “furti di password”, dovrete essere dei websurfers coscenziosi, e seguire le più elementari linee guida della navigazione in Internet. Perchè, se è vero – come è vero – che non esistono programmi scritti con lo scopo di rubare le password, esistono metodi – che poco c’entrano con gli hacker, gli 0day e quant’altro – che potrebbero permettere a qualcuno di ottenere lo stesso risultato giocando però sull’inesperienza e sulla sbadataggine della “vittima”. Ecco i casi più comuni in cui si cade vittima di un “furto”:
- vi parlavo prima del keylogger: un keylogger altro non è che un programma che memorizza tutti i tasti digitati dall’utente e, a volte, può inviare tali sequenze ad un indirizzo e-mail. Un’applicazione del genere, però, non si installa da sola, ma è l’utente “vittima” che utilizza il PC a doverla installare e mandare in esecuzione: spesso i keyloggers vengono “mascherati” come programmi innocui, e i malcapitati utenti neppure si accorgono di averli. In parole povere, non installate/eseguite programmi di dubbia provenienza, perchè potrebbero non essere ciò che voi vi aspettate siano;
- attenzione ai dati che comunicate: Facebook, nè nessun altro servizio, non vi contatterà mai (ne per e-mail, ne per messaggio privato, ne per messaggio di chat ne in altro modo) per chiedervi la password. Se dovesse arrivarvi qualcosa di questo tipo, quindi, segnalate immediatamente a chi di dovere l’indirizzo e-mail da cui vi è arrivata la richiesta e cestinate immediatamente il messaggio senza pensarci due volte. Un utente furbo potrebbe utilizzare questo escamotage per farsi comunicare la password direttamente da voi.
- fate attenzione al phishing: potrebbero arrivarvi delle e-mail con dei link a alse pagine di login a Facebook che, nel momento in cui voi inserite le vostre credenziali, spediscono una bella mail all’utente “cattivo” e gli comunicano la vostra password! Controllate sempre che la prima parte dell’URL corrisponda a http://www.facebook.com o https://www.facebook.com. Se così non fosse, eliminate il messaggio e segnalate. Anzi, non ci cliccate proprio sui link equivoci che vi arrivano per e-mail.
- attenzione agli accessi effettuati: evitate di accedere a Facebook (oppure utilizzate una sessione di navigazione privata, quasi tutti i browser hanno questa funzionalità) da postazioni condivise, da Internet points e, soprattutto, dai computers della scuola/dell’università: non vorrete mica lasciare memorizzata la vostra password alla mercè del primo che capita?
E con questo credo di aver detto tutto: ricapitolando, non esistono programmi che vi permettono di rubare le password di Facebook, ma esistono dei metodi di social engineering (quelli che vi ho elencato) che potrebbero indurre utenti sbadati a comunicarla. Perchè, si sa, tante volte il problema sta tra il PC e la sedia: un pizzico di meticolosità non fa mai male :)