Il tag-jacking è lo sfruttamento della funzione di tagging degli amici di Facebook per diffondere materiale indesiderato come truffe, spam o malware.
Le persone utilizzano la funzione di tagging degli utenti di Facebook per garantire che gli utenti identificati vedano post particolari. Digitando il nome di un amico in un post o in un commento o aggiungendo un tag a una fotografia si crea un collegamento all'account della persona. A seconda delle impostazioni di sicurezza, il post potrebbe essere visualizzato nella pagina dell'utente.
Sfruttando le impostazioni di sicurezza permissive, un intruso può far apparire il proprio contenuto nel feed di notizie dell'utente e potenzialmente nei feed di notizie dei propri amici. Ecco un esempio di exploit di tag jacking:
- L'autore dell'attacco ottiene l'accesso a un utente autorizzato, ad esempio tramite l'hacking dell'account, la creazione di un account falso o l'invio di richieste di amicizia agli utenti target.
- L'aggressore crea un post taggando gruppi di persone che sono amici di Facebook e utilizzando una sorta di clickbait per costringere gli utenti a rispondere.
- Quando un utente fa clic sul post dell'aggressore, una finestra pop-up dice che deve scaricare un file per vedere un video. Tuttavia, ciò che viene effettivamente scaricato è un malware che consente all'autore dell'attacco di accedere al computer dell'utente e consente il furto di identità e altri crimini.
- L'aggressore ottiene anche il controllo dell'account Facebook dell'utente e può quindi prendere di mira tutti gli amici nella sua rete e perpetuare così la truffa.
Non è possibile impedire alle persone di taggarti su Facebook, ma puoi rivedere i post taggati prima che vengano visualizzati nel tuo feed di notizie. Come abilitare la revisione dei tag: fare clic su "Impostazioni" dall'elenco a discesa nell'angolo in alto a destra della pagina Facebook. Fai clic su "Sequenza temporale e tag" nella colonna di sinistra. Assicurati che l'opzione per rivedere i post taggati prima che appaiano nella tua cronologia sia abilitata.
Vedi anche: likejacking, clickjacking, likebaiting