Facebook fai da te? Alpitour? Ahi ahi ahi
Prima o poi doveva succedere anche da noi: qualcuno ha sottratto delle pagine Facebook legittime e ne ha approfittato per diffondere dei link malevoli. È successo a Viaggidea, Francorosso, Villaggi Bravo e Alpitour che si sono visti scippare le loro pagine e soprattutto i loro utenti.
L’attacco verso alpitour
A quanto pare, stando alle dichiarazioni ufficiali, ieri sera c’è stato “un problemino”
Ciao a tutti. Vi informiamo che la scorsa notte le pagine Viaggidea, Francorosso, Villaggi Bravo e Alpitour hanno subito un attacco da parte di alcuni hacker che hanno preso il controllo sulla
pubblicazione dei contenuti e sulle risposte ai vostri messaggi. Per tanto tutto ciò che viene pubblicato su tali pagine non è da associare al Gruppo Alpitour. Stiamo lavorando con il team di Facebook affinché la normalità venga ripristinata il prima possibile!
A quanto pare qualcuno ha preso possesso delle loro pagine: se dovessi tirare a indovinare sospetto che siano state sottratte le credenziali di uno dei community manager (tramite phishing o analoghi) e che in questo modo l’attaccante abbia ottenuto l’accesso alle pagine (avendo cura di escludere rapidamente gli altri amministratori subito dopo). Nulla di troppo complesso.
Peccato che l’attaccante abbia iniziato a postare messaggi di questo tipo
[hr]
[hr]
Peccato che si tratti di link malevoli che puntano sempre ad alpitour.it ma passando da qui (ps: non andateci)
A questo punto iniziano le cose più divertenti: l’azienda esce con un messaggio ufficiale, quello che avete letto all’inizio. Tralasciamo il fatto che sia drammatico che siano passate già 24 ore dall’attacco e la situazione non sia risolta, ma gli attaccanti a questo punto iniziano a pubblicare questo messaggio:
Stato recuperato pagina Facebook dopo che è stato rubato
[hr]
[hr]
A parte l’italiano traballante da Google translate (che ricorda i primi sgangherati tentativi di phishing via mail) è interessante vedere come:
- la prima esca sia stata contestuale (aumentando la possibilità che gli utenti clickassero)
- gli attaccanti abbiano usato delle immagini (in modo da aumentare engagement, reach e sfruttare l’edgerank)
- alla diffusione della notizia della compromissione hanno provato a mettere una finta notizia collegata a quella reale (peccato per l’Italiano, poteva funzionare)
Una ulteriore chicca è data dalla modifica del link nella descrizione di una delle pagine, Villaggibravo
Purtroppo al povero community manager non resta che continuare a postare questi messaggi:
Contrariamente a quanto postato, il problema persiste: lo stato delle pagine Alpitour, Viaggidea, Villaggi Bravo e Francorosso non è stato ancora ripristinato. Stiamo lavorando con il team di Facebook e con le autorità competenti per arrivare ad una soluzione nel più breve tempo possibile!
Conclusione
Mi spiace, ma l’avevo detto tempo fa e l’ho ripetuto (giusto in tempo) sabato scorso al romagnacamp (in una delle ultime slide): i Social Media non sono un giocattolo e non sono solo belli, possono essere usati anche in maniera malevola soprattutto quando usanti in maniera impropria o ingenua.
Uno degli aspetti più interessanti è che anche se si recupera l’account (cosa che prima o poi succederà) il danno d’immagine rimane. In questo caso i link e i post erano evidentemente malevoli, ma:
- cosa mi assicura un domani che i link (accorciati sempre con bit.ly) siano sicuri?
- cosa mi assicura che siano fatti veramente dagli account ufficiali?
- ci sarà da fidarsi di chi si fa sottrarre gli account Facebook?
Purtroppo i Social Media non sono facili e semplici come molti erroneamente credono: non si tratta solo di postare update, ma di sapere bene che cosa si sta facendo, implementarlo all’interno della strategia aziendale e soprattutto avere chiari i rischi che si corrono ed essere in grado di evitarli (o nel malaugurato caso avvengano avere un CRT e un piano).
Vi lascio con una pubblicità che molti di voi ricorderanno
Aggiornamento
Mi era sfuggito il fatto che anche l’account Twitter di Alpitour è stato compromesso
[hr]
Featured image Photo by Search Antigua – http://flic.kr/p/6g4Dta
Note:
- Ipotizzando tutti account reali e che siano utenti unici ↩
Bravo Piero, non ho altro da aggiungere se non una domanda: ma com’è possibile farsi fregare così? 🙂
Purtroppo non è difficile, ormai i metodi sono molteplici.
Una mail di phishing ben fatta funziona egregiamente, “rompere” una password come “pippopippo” non è difficile, etc. etc.
Il problema è che da un lato sono poche le persone che usano password diverse e robuste per tutti i loro account e dall’altro il numero di persone che ha accesso all’amministrazione delle pagine è troppo elevato. Più persone con l’accesso, pratiche non sicure = danno assicurato. Le persone che usano la stessa password per l’account aziendale su Twitter, Facebook, Friendfeed, Gmail etc. sono più di quante vorremmo.
C’è una scarsa percezione dei rischi e di conseguenza i comportamenti non sono prudenti. io vedo principalmente un problema di consapevolezza.
Certo che è semplice, all’aumentare degli admin aumenta il rischio ma puoi settare livelli di sicurezza, usare un account “grey” e interno all’azienda oltre a password robuste, evitare di usare la stessa pw per tutti i social, etc.
Insomma gli accorgimenti leggeri ci sono, se ti fai fregare è perchè non hai una buona privacy sul profilo personale e hai esposto informazioni facilmente.
Ci vorrebbe un vademecum, un decalogo con approfondimento, dedicato alle aziende in primis e poi agli utenti.
Sul decalogo ci si può lavorare 😉
Vai, lo aspetto come guest post sul blog 🙂