Come regola generale, se qualcuno ti offre insegnamenti come “Hacking Facebook”, puoi star certo che stanno dicendo stronzate. Se un sito web ha un articolo su di esso, di solito è solo clickbait.

Allora, cosa facciamo qui?

A partire da gennaio 2017, ho ricevuto più di 3000 e-mail e quasi altrettanti tweet che mi chiedevano di hackerare la loro ragazza su Facebook o di dare un’occhiata ai messaggi del marito per vedere se stava barando e così via.

La quantità mi ha spinto a risolvere questo problema. È abbastanza chiaro che queste domande vengono sempre poste solo da qualcuno che non sa molto sulla programmazione. Non solo, ma lo scopo è chiaramente malevolo e non educativo.

La risposta breve è: No, non puoi hackerare Facebook.

Tuttavia, in questo articolo esamineremo alcune tecniche più ampie che potrebbero indirettamente portare a un hacker che può accedere al tuo account Facebook (e probabilmente di più). Discuteremo anche del perché queste tecniche falliranno nella maggior parte delle circostanze. Devo avvertirti però, questo è pensato per scopi strettamente educativi. Effettuare effettivamente queste attività con un intento malevolo può costituire un reato. Indipendentemente da ciò, se la vittima è informata e mantiene aggiornati i propri programmi, difficilmente si riuscirà.

1.      Phishing

In poche parole, si tratta di creare una copia identica della pagina di accesso, ospitarla su un server che controlli e ingannare la vittima inserendo le proprie informazioni di accesso che poi rendono la strada giusta per te.

Oggi gli attacchi di phishing sono ancora piuttosto diffusi, motivo per cui si dovrebbe sempre dare un’occhiata all’URL prima di digitare qualsiasi informazione confidenziale. Fortunatamente, i principali browser come Chrome avvisano gli utenti quando stanno per entrare in un sito Web dannoso. Questo da solo blocca la maggior parte degli attacchi di phishing.

La vittima capisce anche in fretta che è stata vittima di phishing. Supponiamo che l’utente inserisca il nome utente e la password in un sito Web di phishing, quindi? L’utente si aspetta di essere loggato. Non è possibile per una terza parte (come il sito Web di phishing di un hacker) avviare una vera sessione di Facebook nel browser dell’utente.

L’altra possibilità è che la vittima abbia già effettuato l’accesso (una sessione è attualmente attiva) e se vedono un’altra pagina di accesso, ad esempio il tuo sito di phishing, sapranno che qualcosa è chiaramente fuori posto.

In entrambi i casi, la vittima si renderà conto di essere stata presa di mira. Ovviamente, questo può avvenire solo se il sito Web di phishing è stato in grado di ingannare il browser con successo.

Tutto sommato, se gli utenti mantengono aggiornato il software e rimangono vigili, sono in gran parte protetti dalla maggior parte degli attacchi di phishing. Tuttavia, ci sono sempre buchi di sicurezza in tutti i sistemi. Anche se riuscirai a farcela, anche se ottieni la password di una vittima su un account online come Facebook o Google, non avrai ancora accesso ai loro account.

Tutte le società Internet rispettabili dispongono di ampie misure anti-hacking. Se un utente tenta di accedere da, ad esempio, un indirizzo IP distante o un nuovo dispositivo sconosciuto (uno che non è stato precedentemente utilizzato con quell’account), il tentativo di accesso sarà probabilmente bloccato a meno che l’utente che tenta di accedere possa correttamente confermare la sua identità. E ciò comporta cose come rispondere a domande di sicurezza o digitare un piccolo codice inviato al telefono dell’utente. Non solo questo, ma il vero utente riceve un messaggio riguardante attività strane sul proprio account.

Quindi, il phishing è un no.

2.      Keylogger

Questo è piuttosto auto-esplicativo. Se si ha accesso al dispositivo della vittima da cui effettuano spesso il login, è sufficiente installare un keylogger che viene eseguito in background e registra tutte le sequenze di tasti. Quindi, se sei fortunato, le informazioni sull’account della vittima saranno semplicemente lì nel registro.

Ma ahimè, non è così semplice. Ci sono un paio di grosse difficoltà con questo:

·        Antivirus: gli antivirus di oggi sono eccellenti nella cattura di file che sembrano avere anche alla lontana un comportamento malevolo. La maggior parte degli antivirus mette automaticamente in quarantena tali file e segnala immediatamente il loro rilevamento all’utente. Ma a seconda delle circostanze, potresti essere in grado di aggirare questo:

·        Disabilitare l’antivirus. Piuttosto ovvio, ma se sei certo che la vittima non noterà che l’antivirus non è in esecuzione, questo è un buon metodo da usare.

·        Inserisci il file keylogger nella lista di esclusione antivirus. Quasi tutti gli antivirus consentono di selezionare file o cartelle che possono essere esclusi dalla scansione, consentendo in tal modo di autorizzare il nostro software dannoso, il keylogger. Questo è l’approccio preferito se è probabile che la vittima noti che l’antivirus non è in esecuzione. Tuttavia, alcuni antivirus eseguono scansioni di routine dei programmi che attualmente risiedono nella memoria del computer. Se la whitelist non è applicabile a questa scansione della memoria, il processo in background del keylogger verrà nuovamente bloccato. Pertanto, si consiglia di testare accuratamente il keylogger prima di metterlo effettivamente in uso.

·        Se la vittima è estremamente esperta di tecnologia, ad esempio un programmatore esperto, potrebbe essere in grado di individuare manualmente il keylogger in esecuzione nel processo in background mentre controlla il task manager. Sebbene improbabile, questa è ancora una possibilità. Mentre stai testando il keylogger, assicurati di guardare l’elenco dei processi in background e vedere se il processo del keylogger ha un nome molto ovvio. Non sarebbe molto in incognito se la tua vittima potesse semplicemente individuare Definitely-Not-A-Keylogger.exe in esecuzione in background.

·        Cosa succede se non si ha accesso al dispositivo? Quante persone ti permettono di usare liberamente il loro dispositivo? A quante persone offri i tuoi dispositivi? Questo è un grande ostacolo. Uno che può essere superato solo da hacking vero e proprio.

3.      Hacking vero e proprio

Cose come i keylogger e il phishing possono difficilmente essere definiti veri hacking. Queste sono scorciatoie e non veri e propri hack. Non lasciare che questo ti scoraggi, ma devo essere un po’ duro ora. Se vuoi veramente imparare l’hacking, probabilmente dovresti mirare a qualcosa di un po’ meno meschino di hackerare l’account Facebook di qualcuno. Questo non è ciò che questo sito vuole essere e la maggior parte delle persone che sono arrivate a questa pagina stanno cercando un trucco facile e veloce che non esiste. Persone come queste attribuiscono un brutto nome all’hacking.

Ci vuole sforzo per apprendere i test di penetrazione, potrebbero volerci mesi prima che un principiante riesca a cogliere un linguaggio di programmazione, magari anni prima che possano sviluppare i propri exploit. Ecco come appare l’hacking reale. Se desideri percorrere questa strada, ci sono un sacco di risorse disponibili per aiutarti (questo canale telegram, per esempio).