Facebook fai da te? Alpitour? Ahi ahi ahi



Questo post ha piu' di sei mesi. Le informazioni contenute potrebbero non essere aggiornate: ultima modifica: 13.09.13

Prima o poi doveva succedere anche da noi: qualcuno ha sottratto delle pagine Facebook legittime e  ne ha approfittato per diffondere dei link malevoli. È successo a ViaggideaFrancorosso, Villaggi Bravo e Alpitour  che si sono visti scippare le loro pagine e soprattutto i loro utenti.

L’attacco verso alpitour

A quanto pare, stando alle dichiarazioni ufficiali, ieri sera c’è stato “un problemino”

Ciao a tutti. Vi informiamo che la scorsa notte le pagine Viaggidea, Francorosso, Villaggi Bravo e Alpitour hanno subito un attacco da parte di alcuni hacker che hanno preso il controllo sulla
pubblicazione dei contenuti e sulle risposte ai vostri messaggi. Per tanto tutto ciò che viene pubblicato su tali pagine non è da associare al Gruppo Alpitour. Stiamo lavorando con il team di Facebook affinché la normalità venga ripristinata il prima possibile!

Alpitour hacked

A quanto pare qualcuno ha preso possesso delle loro pagine: se dovessi tirare a indovinare sospetto che siano state sottratte le credenziali di uno dei community manager (tramite phishing o analoghi) e che in questo modo l’attaccante abbia ottenuto l’accesso alle pagine (avendo cura di escludere rapidamente gli altri amministratori subito dopo). Nulla di troppo complesso.

Peccato che l’attaccante abbia iniziato a postare messaggi di questo tipo

[hr]

This slideshow requires JavaScript.

[hr]

Peccato che si tratti di link malevoli che puntano sempre ad alpitour.it ma passando da qui (ps: non andateci)

adf.ly alpitour

 

A questo punto iniziano le cose più divertenti: l’azienda esce con un messaggio ufficiale, quello che avete letto all’inizio. Tralasciamo il fatto che sia drammatico  che siano passate già 24 ore dall’attacco e la situazione non sia risolta, ma gli attaccanti a questo punto iniziano a pubblicare questo messaggio:

Stato recuperato pagina Facebook dopo che è stato rubato

[hr]

This slideshow requires JavaScript.

[hr]

A parte l’italiano traballante da Google translate (che ricorda i primi sgangherati tentativi di phishing via mail) è interessante vedere come:

  • la prima esca sia stata contestuale (aumentando la possibilità che gli utenti clickassero)
  • gli attaccanti abbiano usato delle immagini (in modo da aumentare engagement, reach e sfruttare l’edgerank)
  • alla diffusione della notizia della compromissione hanno provato a mettere una finta notizia collegata a quella reale (peccato per l’Italiano, poteva funzionare)

Una ulteriore chicca è data dalla modifica del link nella descrizione di una delle pagine, Villaggibravo

villagibravo hacked

Purtroppo al povero community manager non resta che continuare a postare questi messaggi:

Contrariamente a quanto postato, il problema persiste: lo stato delle pagine Alpitour, Viaggidea, Villaggi Bravo e Francorosso non è stato ancora ripristinato. Stiamo lavorando con il team di Facebook e con le autorità competenti per arrivare ad una soluzione nel più breve tempo possibile!

Conclusione

Mi spiace, ma l’avevo detto tempo fa e l’ho ripetuto (giusto in tempo) sabato scorso al romagnacamp (in una delle ultime slide): i Social Media non sono un giocattolo e non sono solo belli, possono essere usati anche in maniera malevola soprattutto quando usanti in maniera impropria o ingenua.

In questo caso oltretutto si tratta di un attacco diretto non solo verso l’azienda, ma soprattutto verso i loro clienti: sono infatti loro i target dei link malevoli postati nella pagina.
Facciamo due conti: Alpitour: 23.309 fan, Villaggi Bravo 51.570, Francorosso 17.335 e  Viaggidea 32.417 fan. Se li sommiamo abbiamo l’esposizione 1 abbiamo 124.631 persone esposte a link malevoli. Un ottimo risultato.

Uno degli aspetti più interessanti è che anche se si recupera l’account (cosa che prima o poi succederà) il danno d’immagine rimane. In questo caso i link e i post erano evidentemente malevoli, ma:

  • cosa mi assicura un domani che i link (accorciati sempre con bit.ly) siano sicuri?
  • cosa mi assicura che siano fatti veramente dagli account ufficiali?
  • ci sarà da fidarsi di chi si fa sottrarre gli account Facebook?

Purtroppo i Social Media non sono facili e semplici come molti erroneamente credono: non si tratta solo di postare update, ma di sapere bene che cosa si sta facendo, implementarlo all’interno della strategia aziendale e soprattutto avere chiari i rischi che si corrono ed essere in grado di evitarli (o nel malaugurato caso avvengano avere un CRT e un piano).

Vi lascio con una pubblicità che molti di voi ricorderanno

 

Aggiornamento

Mi era sfuggito il fatto che anche l’account Twitter di Alpitour è stato compromesso

Schermata 2013-09-13 alle 10.48.23 AM

[hr]

Featured image Photo by Search Antigua – http://flic.kr/p/6g4Dta

Note:

  1. Ipotizzando tutti account reali e che siano utenti unici
5 replies
    • Piero Tagliapietra
      Piero Tagliapietra says:

      Purtroppo non è difficile, ormai i metodi sono molteplici.
      Una mail di phishing ben fatta funziona egregiamente, “rompere” una password come “pippopippo” non è difficile, etc. etc.

      Il problema è che da un lato sono poche le persone che usano password diverse e robuste per tutti i loro account e dall’altro il numero di persone che ha accesso all’amministrazione delle pagine è troppo elevato. Più persone con l’accesso, pratiche non sicure = danno assicurato. Le persone che usano la stessa password per l’account aziendale su Twitter, Facebook, Friendfeed, Gmail etc. sono più di quante vorremmo.

      C’è una scarsa percezione dei rischi e di conseguenza i comportamenti non sono prudenti. io vedo principalmente un problema di consapevolezza.

      Reply
      • Dario Salvelli
        Dario Salvelli says:

        Certo che è semplice, all’aumentare degli admin aumenta il rischio ma puoi settare livelli di sicurezza, usare un account “grey” e interno all’azienda oltre a password robuste, evitare di usare la stessa pw per tutti i social, etc.
        Insomma gli accorgimenti leggeri ci sono, se ti fai fregare è perchè non hai una buona privacy sul profilo personale e hai esposto informazioni facilmente.

        Ci vorrebbe un vademecum, un decalogo con approfondimento, dedicato alle aziende in primis e poi agli utenti.

        Reply

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply