Non il primo passo (che per ora mi è ignoto), ma il secondo, è vedere tra le notifiche recenti comparire qualcosa come "A Nome Contatto piace un link", e link in questione mostra quello che dovrebbe essere un frame del video, con tanto di "tasto play" a cui i post dei video di youtube ci hanno abituato.
La prima anomalia è che di fatto invece si tratta di una immagine che imita quella generata da facebook automaticamente quando postiamo un video, tanto che se ci moviamo sopra l'immagine e il nostro browser ci mostra il link su cui siamo con il mouse, leggiamo appunto quale è il link su cui finiremmo se cliccassimo; mentre con i video veri il link è apparentemente facebook stesso. Il link in questione è scommesse-sport.biz/cenacinese, che non linkifico per ovvi motivi.
Altro elemento comune a queste esche è il sensazionalismo che fa leva sulla morbosa curiosità di molti; questo in analisi riguarda una cena cannibale, un altro riguardava un suicidio in webcam...
Cliccando si apre il link, che imita l'aspetto di facebook, forse per far credere ai più distratti che sono ancora su tale sito, quando invece il nome del dominio (scommesse-sport.biz) già dovrebbe averci allontanati da tale trappola.
Sulla sinistra si hanno elementi fittizi, mentre in alto compaiono un paio di nomi e tre immagini di miei veri contatti, correttamente linkificati (e che nell'immagine ho provveduto ad oscurare). Purtroppo facebook in qualche modo rende possibile che un sito (p.es. perché ospita una applicazione o attraverso le sue API di gemellaggio o tramite altri meccanismi leciti) possa determinare che N persone cadute nella trappola sono miei contatti.
In ogni caso, in questa pagina che imita facebook, più o meno, vediamo il bottone "Mi piace" (Like nell'immagine, perché ho facebook in inglese) che possiamo cliccare; e a quel punto diffondiamo questa specie di virus, il cui scopo è, credo, proprio accaparrarsi click (un click su internet può avere un valore moneterio!).
Solo che probabilmente molti non vogliono cliccare "Mi piace" prima di aver visto il video; e allora clicchiamo sul bottone gigante play, a cui youtube ci ha abituati...
Se avete l'addon NoScript di Firefox, quello che vi comparirà vi farà capire che anche la skin youtube è finta, e nasconde in realtà il bottone "Mi piace"! Così, se prima di aggregarvi con "Mi piace" al vostro amico, che è caduto nella trappola come state per fare voi, pensate di valutare da voi il video, cascate male, perché avrete automaticamente cliccato mi piace.
Se avete NoScript su Firefox, e nessuno degli elementi accennati prima vi ha fatto insospettire e rinunciare alla vostra morbosa curiosità, fate ancora in tempo a premere il bottone Report ed informare i vostri amici della "bufala".
Ma ora andiamo a vedere il "codice" html di questa pagina...
Il tag html definisce 2 namespace oltre quello "standard" xhtml; per chi non sa di che sto parlando: è come se la pagina dichiarasse di usare certe "estensioni", descritte (nella sintassi, non come altro) all'indirizzo dato, che permettono di "fare" alcune cose che l'xml/html non ha (non è proprio così, ma per intenderci...).
Uno dei due namespace è open graph protocol, che come recita il sito
The Open Graph protocol enables any web page to become a rich object in a social graph. For instance, this is used on Facebook to enable any web page to have the same functionality as a Facebook Page.
Cioè, per chi non mastica inglese: è un "protocollo" che permette a una pagina web qualunque di essere un "oggetto" facente parte di una rete (grafo) sociale; ... in sostanza per semplificare è un tool di "tracciamento di collegamenti", nell'ottica dell'uso di un social network.
L'altro namespace è per l'FBML (FaceBook Markup Language), robetta che si usa (si usava?) per fare la parte grafica delle applicazioni di facebook; in sostanza una specie di html apposta per facebook.
Poi nell'head (che viene ripetuto due volte e dunque abbiamo una pagina che non verrebbe validata da un validatore x/html) viene specificato
un profilo, che ci rivela ancora una volta che siamo nel contesto di un social network; è in pratica roba per specificare relazioni tra elementi (contatto, amico, incontrato dal vivo, collega, figlio, genitore, musa, cottarella, ragazzo...)
Seguono altre informazioni nel namespace OpenGraph (titolo, descrizione, indirizzo) e... come proprietà troviamo fb:admins, con due ID facebook separati da virgole; fb: dice che la propietà admins è nel namespace fb ovvero in quello definito prima, quello per l'FBML. Dunque queste due ID possono essere gli amministratori dell'applicazione/pagina!
E a questo punto, andiamo subito a vedere chi sono. Come fare?
Avrete notato spero che quando cliccate un vostro contatto e andate sul suo profilo, la barra indirizzi contiene qualcosa del tipo
http://www.facebook.com/profile.php?id=NUMERO
Dovrebbe essere chiaro anche a chi non sa niente di niente di niente di web ecc. che quell'"id" con uguale, un po' come in una specie di equazione, assegna NUMERO alla variabile "id", che con un po' di intuito capiamo essere una abbreviazione per "identità".
Al posto di NUMERO copiamo gli id degli "admins" che abbiamo letto nella pagina, prima uno poi l'altro; tali ID sono 100001215463593, 100001242943682.
Naturalmente non ci dobbiamo aspettare che i profili che compaiono siano veramente gli amministratori, potrebbero essere semplici pedine, come quelli che hanno cliccato sul video... Tuttavia, non dobbiamo nemmeno scartare che siano account effettivamente appartenenti ai responsabili di questo spam; in questo caso però non aspettiamoci che le persone a cui sembrano legati questi account siano veramente quelle che posseggono tali account. Insomma, se si volesse andare oltre, e creare un collegamento tra i truffatori in carne ed ossa e la truffa, bisognerebbe avere ben altri mezzi di indagine (legale). Noi ci fermiamo a guardare i profili per curiosità, lasciando senza risposta la domanda: saranno loro veramente loro a guadagnarci?
Nel caso dovessero scomparire... vi dirò che per l'account 100001215463593 compare una certa Cassidy Ruddy, nata il 19 settembre 1988, che vive nell'Arkansas, ha 12 contatti soli (tra cui figurano abbastanza nomi italiani, il che aumenta il sospetto di un profilo fittizio), ed appare in foto bionda e vestita di un abito lungo leopardato; non permette messaggi da esterni.
Per l'account 100001242943682 appare una certa Estelle Garzon, nata l'8 giugno 1979, vivente nei pressi di Washington ma originaria di Tampa, in Florida; ha 40 contatti, di nuovo compaiono molti nomi italiani.
La sezione "About ..." si somiglia molto: in una c'è scritto
:)
Hello I'm an energetic girl. I'd like to do sports with my friends. In my spare time, I often read books. I would love to make friends with people. So I'd like to be in your friends list. I love my life!
nell'altra
ciaooo
Hey I'm an optimistic female. I'd love to do sports with my families. In my spare time, I often go shopping. I prefer to make friends with people. So I prefer to be in your friends list. I really enjoy my life!
Si tratta di variazioni su un tema, secondo me generate automaticamente a partire da un canovaccio in cui vengono cambiati solo alcuni sostantivi e verbi. Il che per quanto mi riguarda li identifica come profili fasulli al 99%.
L'immagine usata per il finto video è questa e il nome del file tradisce una origine italiana, come del resto è ovvio visto che la lingua usata dalla pagina fittizia è italiano sebbene, anche nella barra in alto che come detto io ho in inglese...!
Dopo questi elementi compare un bel iframe, che per chi non sa, è solo un modo per "incorporare" una pagina web dentro un'altra; la vera e propria pagina nel nostro caso ha dunque un altro indirizzo, uguale all'altro in pratica ma con /index2.php appeso in fondo. Se apriamo questa pagina da sola, notiamo inoltre che l'imitazione del layout di facebook è migliore, perché quando è incorporata tramite l'iframe vengono messi dei bordi invisibili e la barra in alto di fb non tocca direttamente la parte superiore dell'area della finestra, come è invece nel vero facebook.
Nel codice di questa pagina leggiamo come è possibile che compaiano i propri contatti: la pagina importa da googleapis jQuery (un framework javascript che facilita le ajaxate e altre cosette così) ma soprattutto importa
http://connect.facebook.net/it_IT/all.js#xfbml=1 http://connect.facebook.net/en_US/all.js#xfbml=1 http://connect.facebook.net/en_US/all.js#appId=APP_ID&xfbml=1
e fa uso del tag fb:like per mostrare quanti hanno premuto mi piace sul link; poi segutono varie porcate per le statistiche sui click, che è il modo in cui ci guadagnano...
Quell'appId=APP_ID fa capire che non c'è una APP_ID registrata, sfrutta solo alcune caratteristiche che evidentemente sono raggiungibili da "fuori" (quando volete fare una applicazione per fb, dovete associarla a un profilo per ottenere un indentificativo applicazione).
Troppa carne al fuoco? Poco comprensibile? In quest'era di truffaldini che sfruttano internet, gli illetterati dell'informatica è meglio che comincino a studiarsi un po' di cose e cercare di capire... (l'avrei scritto nel mio blog inglese, più propenso a questa specie di tecnicate, però non mi andava di scrivere in inglese, e poi la "truffa" è palesemente rivolta al mercato italiano...)
Nessun commento:
Posta un commento
Sii educato, costruisci con cura le frasi, rifletti prima di pubblicare, evita parolacce e offese dirette, non uscire dal tema, cerca di non omettere la punteggiatura, evita errori ortografici, rileggi quel che hai scritto.