Online se ne leggono di tutti i colori: basta cercare su Google “rubare” per capire di che stiamo parlando. Le password di Facebook sono quelle più ambite, ma anche il poter vedere il profilo di chi non è amico, spiare le informazioni nascoste dalle impostazioni sulla privacy. Nonostante sia illegale, ci provano tutti e c’è pure chi, una volta raggiunto l’obiettivo, rende noti i passaggi seguiti per scovare la tana della preda.
È il caso di Nelson Neto Novaes, un ricercatore brasiliano che è riuscito a convincere un esperto di sicurezza web – chiamato “SecGirl” dal pirata – ad accettare la sua richiesta di amicizia su Facebook, attraverso una tecnica di crittanalisi chiamata social engineering. Questo metodo, sempre più diffuso, prevede in generale lo studio del comportamento di una persona, al fine di apprenderne informazioni personali segrete.
Neto è riuscito nel suo obiettivo in tre semplici mosse: ha creato un account falso, assumendo l’identità di una persona fidata amica della vittima, ha poi richiesto l’amicizia agli amici degli amici dell’utente clonato e successivamente agli amici di Facebook diretti della vittima.
Il brasiliano ha deciso di clonare l’account del manager della vittima. Una volta creato il falso profilo, ha inviato quindi ben 432 richieste di amicizia e dopo un’ora contava già 24 amici. Allora ha inviato altre 436 richieste, stringendo il campo di amicizie attorno a SecGirl. Neto ha aspettato soltanto 7 ore prima che il povero ignaro pesciolino abboccasse.
Si fa presto a parlare di sicurezza online, ma se viene considerata la superficialità con cui un esperto del settore accetta una richiesta di amicizia, è facile immaginare una persona qualsiasi al suo posto, abbindolato da una lista di amici in comune o da una foto profilo falsa. Spesso si cade nel tranello pur conoscendo bene la persona che richiede l’amicizia, magari la si ha già tra gli amici. Eppure, questo giochino apparentemente innocuo, mina la sicurezza del proprio account del social network. Neto stesso offre una dichiarazione, su cui è il caso di riflettere:
«La gente ha semplicemente ignorato la minaccia rappresentata dall’accettare una richiesta di amicizia da parte di un profilo X, senza nemmeno assicurarsi l’autenticità del profilo stesso. Le reti sociali sfruttate da Facebook possono essere fantastiche, ma le persone commettono errori. La privacy è una questione di responsabilità sociale».