Abbiamo parlato dello Spoofing URL e delle Open Redirect Facebook, oggi vedremo come costruire un Post (WatsApp e Facebook) più o meno funzionale.
Prenderemo come esempio una FakeNew (palesemente Fake) su Trump.
Innanzitutto impostiamo l’aspetto del Finto Post. Le cose che saltano subito all’occhio sono: “il Titolo, la Descrizione, l’URL e l’ Immagine di Anteprima”. Per realizzare tutto basta il codice a seguire…
<meta property="og:title" content="TITOLO"/> <meta property="og:description" content="DESCRIZIONE"/> <meta property="og:url" content="URL FINALE"/> <meta property="og:image" content="IMMAGINE "/>
Vediamo come apparirà il nostro Finto Post :
Direi proprio che NON ci Siamo!!! sia Facebook che Watsapp proprio per prevenire questo tipo di Attacchi hanno fatto in modo di mostrare all’utente l’URL finale, cosicchè l’utente sappia sempre cosa stia cliccando. Se eseguiamo un Debug con l’apposito strumento di Facebook otterremo il seguente risultato :
A questo punto dobbiamo certamente migliorare l’aspetto di questo Finto Post inviato tramite Messenger. Ed è qui che subentrano le Open Redirect FACEBOOK ! Se non l’avete fatto vi invito a rileggere il precedente articolo: “Facebook – Vulnerabilità Open Redirect“.
Ed ecco cosa otteniamo…
Molto meglio NO ?! Osserviamo anche la versione WhatsApp del medesimo…
Naturalmente si può fare di meglio, il colpo d’occhio è tutto, ma questo era solo un esempio e non è di nostro interesse renderlo perfetto.
Questo di seguito è l’URL Malevolo (NON cliccatelo, tanto lo abbiamo messo OffLine) :
https://l.facebook.com/l.php?u=http%3A%2F%2F87.6.219.214%2Fphishing%2Fspoof%2FSpoofPost%2FFakeNews%2FPostSpoofTrump.html&h=AT3pWoicgDUwKTnQHkkoNX7Fb26oAu32jUCroX__oa7MKc486r4fkeZJ70uxkex8tE84DYvk_i17-1PRIx3nJOMxopx_rY3ibdk0zOv-YWYSPZARPx09mi7bpnsS&s=1
Nel seguente articolo troverete diverse tecniche di URL Spoofing :
