Cosa c'è dietro i quiz su Facebook
I test "della personalità" e i quiz di intelligenza su Facebook spopolano, ma non sempre chi li crea e li diffonde è animato da buone intenzioni e gli utenti rischiano di vedersi rubare i dati personali o di trovarsi ad installare un malware. Un esperto di sicurezza informatica ci spiega come succede e come difendersi
Periodicamente “Una vita da Social“, la pagina Facebook della Polizia di Stato, avverte gli utenti del social network sui pericoli e i rischi dei quiz e dei test cui gli utenti amano mettersi alla prova per dimostrare di saper riconoscere tutte le canzoni della disco anni Ottanta, i film di Leonardo DiCaprio oppure per scoprire il proprio QI. La Polizia segnala che può succedere che dietro a questi quiz si nascondano malintenzionati il cui unico scopo è quello di carpire informazioni dai profili degli utenti.
Cosa si nasconde dietro i quiz su Facebook?
I test di Facebook piacciono a quasi tutti perché sono così facili che chiunque può sentirsi un campione o un genio. Altre app invece creano una “nuvola” con le parole che usiamo più spesso su Facebook, i contatti con cui interagiamo di più e così via e promettono di restituirci – quasi fossero uno specchio – la nostra immagine sul social network appagando così il desiderio di utilizzare l’Internet non tanto per guardare gli altri ma per vedere noi stessi. E cosa dire di quei quiz che “analizzano” il nostro profilo per farci immancabilmente scoprire che la nostra “età mentale” è di una decina d’anni più giovane di quella che abbiamo sulla Carta d’Identità o che assomigliamo a quella bellissima e inarrivabile celebrità? Non c’è dubbio quindi che questi quiz siano costruiti per invogliare il maggior numero di utenti a partecipare. Del resto quanti di noi che passiamo pigramente le nostre giornate a scrutare Facebook hanno anche realmente voglia di cimentarsi in una prova di intelligenza con il rischio di non poterne condividere il risultato con gli amici perché abbiamo sbagliato la quasi totalità delle risposte? Nessuno, e Buzzfeed è stato uno dei primi siti a capire che i quiz per social potevano essere sfruttati per fare visualizzazioni. Da diverso tempo però la Polizia ed esperti di sicurezza informatica hanno iniziato ad avvertire gli utenti sui pericoli insiti nel partecipare a quiz e test che vengono creati da società le cui intenzioni (e identità) sono poco chiare. Nel 2016 Marco Valerio Cervellini della Polizia Postale e delle Comunicazioni spiegava all’AdnKronos quali sono i potenziali rischi per la sicurezza: «Non ce ne rendiamo conto ma già nel momento in cui si clicca su ‘inizia il test’, si esce fuori da Facebook, quindi da un’area in cui abbiamo configurato i requisiti di privacy: si finisce così per inserire all’esterno del social i nostri dati, che potrebbero finire in mani sbagliate». Sono i dati personali quindi il principale interesse per queste aziende che creano a getto continuo quiz e test della personalità che diventano virali e che quindi consentono di raccogliere il maggior numero di informazioni possibili. Non tutte le società hanno interesse a rubare le informazioni sui nostri amici, il nostro indirizzo IP o il dispositivo che utilizziamo per “fregarci”, a volte si tratta semplicemente di un metodo utilizzato da terze parti per profilare gli utenti (che è la stessa cosa che fa Facebook stesso) in modo da poter vendere quelle informazioni. Non è un vero e proprio furto perché sono gli stessi utenti a dare il permesso di accedere a quelle informazioni ma è probabile che chi partecipa ad un quiz non ci faccia poi tanto caso, in fondo un quiz è solo un gioco e di cosa dovremmo preoccuparci?
Ieri la Polizia è tornata a sensibilizzare gli utenti sul problema avvertendo che è possibile che alcuni hacker sfruttino il meccanismo delle app e dei quiz per truffare le persone, convincerle a scaricare malware sui propri dispositivi che potrebbero compromettere la sicurezza dei loro dati oppure attivare promozioni indesiderate sul proprio telefono cellulare. Questo ovviamente non riguarda tutti i quiz, alcuni dei quali sono gestiti da società serie ovvero il cui interesse non è indurre l’utente a installare virus e malware o a rubare informazioni personali ma il rischio, spiega la Polizia, è reale e quindi bisogna sempre prestare attenzione quando si partecipa ad un quiz su Facebook. Ma non ci sono solo gli hacker, qualche tempo fa il New York Times ha rivelato che anche una società che si occupa di consulenza politica, la Cambridge Analytica (tra i cui clienti c’è stato anche il comitato elettorale di Donald Trump) ha utilizzato i test della personalità via Facebook per costruire un enorme database degli utenti/elettori in modo da poterli profilare e mirare meglio gli ads e le campagne politiche delle quali è stata consulente.
Come fanno gli utenti a difendersi delle truffe dei quiz di Facebook?
Che la situazione e la gestione delle app dei quiz e dei test della personalità sia opaca è un dato di fatto ma cosa può fare un singolo utente? Per avere una risposta chiara abbiamo contattato Fabrizio Bugli (@fabfree_) esperto di sicurezza informatica, con un’esperienza in ambienti della ricerca italiana, sia in ambienti privati e governativi, nonché smanettone da vent’anni. Bugli giovedì 17 marzo terrà un seminario dal titolo “(3rd) Party like nobody’s watching: Innalzare il livello di attenzione sulle terze parti, prima che arrivi l’Internet delle Cose” all’interno del Security Summit di Milano, la manifestazione dedicata alla sicurezza delle informazioni, delle reti e dei sistemi informatici giunta quest’anno alla nona edizione.
Come fa un utente ad accorgersi che il quiz cui sta partecipando è una truffa?
Dipende cosa si intende per truffa e quale sia il vero rischio a cui l’utente va incontro. Il rischio maggiore è chiaramente cliccare su un link apparso nella propria homepage di facebook, che porta l’utente su un sito di dubbia affidabilità. In quel caso, all’utente è presentato un qualche genere di quiz, gioco social o altro, con lo scopo di indurlo a scaricare un software malevolo (o un dropper o un downloader), che può compromettere la sicurezza del computer dell’utente. Questo tipo di furto di dati va considerato come il più pericoloso, perché prevede l’esecuzione di codice malevolo sul computer dell’utente. Per proteggersi, l’utente dovrebbe innanzitutto non fidarsi mai di siti che propongono download di file non richiesti, secondariamente usare un browser mantenuto aggiornato ed infine avere un antivirus sul proprio computer, anche se quest’ultimo layer di sicurezza è il più facile da bypassare. Secondariamente, ci sono i siti o le app che raccolgono dati degli utenti a scopi commerciali (leggi: spam), ovvero quei link che, una volta cliccati, richiedono all’utente di autorizzare, per una determinata applicazione, l’accesso ad alcuni dati del proprio profilo (indirizzo mail, lista di amici, numero di telefono, data di nascita). In quel caso il “furto di dati” è sostanzialmente lo scambio di dati personali consono, come previsto da Facebook stessa. L’unica protezione è ignorare i quiz, se provengono da siti in qualche modo sospetti (ad esempio i siti che sul fondo delle pagine hanno i thumbnail di bufale.. “Italiano_Milano_Navigli Guadagna 500mila dollari al giorno“, con la foto di un tizio appoggiato al cofano di una Ferrari) Infine, esiste una casistica di link che, se cliccati da un dispositivo mobile, sembrano non arrivare mai alla pagina interessata, bensì presentano all’utente una serie infinita di popup recanti frasi accattivanti tipo “Ehi, Android User, hai vinto il concorso!” “Il tuo iOS non è aggiornato!“. In quei casi, benché spesso siano tentativi fallaci di hacking grazie alla frequenza con cui i sistemi operativi degli smartphone vengono aggiornati, nel caso meno rischioso sono dei metodi per direzionare le visite dell’utente a una rete di siti web interessati a far salire i propri contatori di visite (cosiddetto Black Hat SEO). La protezione migliore, quindi, è killare l’applicazione (il browser) del dispositivo e terminare questo loop di visite a siti non richieste.
Quali dati sono a rischio e come difendersi?
Nel caso di download di file malevoli e successiva esecuzione (grazie a una vulnerabilità del browser, all’assenza dell’antivirus o altro genere di hacking), i dati a rischio sono tutti quelli presenti sul computer dell’utente, passati presenti e futuri, e, più estensivamente, anche tutti i dati che possono viaggiare sulla rete locale dell’utente stesso. Ad esempio, un malware può tentare di replicarsi su altri computer collegati alla stessa rete, oppure trasformare il computer dell’utente in uno zombie usato per rimpinguare i ranghi di una botnet. Invece, per i quiz o le app che chiedono di accedere a dati del proprio profilo su FB, si sta comunicando a terze parti la propria mail, ed alcuni dei propri dati personali, ad una terza parte di dubbia affidabilità. Molto probabilmente, questi dati saranno poi collezionati indicizzati verificati e venduti come “batch” di destinatari per gli spammer. Il consiglio è ovviamente di effettuare una review periodica di ciò che abbiamo inserito nel nostro profilo FB, e verificare che i permessi di accesso siano il più possibile impostati come privati.
Molti dicono “ma io tanto non ho niente da nascondere” e non si preoccupano della privacy, perché invece dovrebbero farlo?
Escludendo i rischi maggiori, citati sopra, per cui cadere in uno di questi tranelli significa perdere dei soldi veri, il fatto di avere il proprio indirizzo in liste di destinatari per spammer, implica essere più soggetti a spam pubblicitario. Inoltre va considerato il fatto che non esiste un albo degli spammer buoni: le liste per spammer sono, per vie traverse, gli stessi “elenchi del telefono” usati da eventuali malintenzionati per le proprie campagne di diffusione di virus via mail (ad esempio cryptolocker et similia).