In Svizzera degli hacker hanno inviato lettere cartacee al domicilio di diversi cittadini. Le missive, apparentemente inviate dall’ufficio Federale della meteorologia MeteoSwiss, invitano i destinatari a inquadrare un QR code per prelevare un’app per dispositivi mobili la quale, richiamando l’applicazione ufficiale Alertswiss diffusa dalla Protezione civile per informare i cittadini sui previsti eventi climatici avversi, in realtà maschera il malware Coper, noto anche con il nome di Octo2 che, in Italia, è già arrivato in una sua variante, come abbiamo scritto qui.
Gli hacker lasciano gli ambiti digitali preferendo una delle forme di comunicazione più analogiche che esistano. Cerchiamo di capire perché e come evitare di cadere nelle trappole.
Indice degli argomenti
Il malware Octo2
L’ufficio Federale della cybersicurezza (UFSC) è intervenuto avvertendo la popolazione della truffa in corso, specificando che la falsa applicazione infetta soltanto dispositivi Android e ruba dati sensibili da altre app per smartphone, tra qui quelle deputate all’e-banking.
Inoltre, e questa è una sottigliezza, l’app originale dell’ufficio Federale della protezione civile si chiama Alertswiss, mentre quella verso cui viene dirottato chi acquisisce il QR code si chiama AlertSwiss, con la S maiuscola. Spesso i malintenzionati fanno affidamento sulla replica quasi perfetta dei nomi originali di app e siti web, apportando solo differenze minime che non insospettiscono gli utenti. Tuttavia, in queste differenze quasi impercettibili, si celano tranelli le cui conseguenze possono essere pesanti.
A rendere la campagna ancora più subdola subentra il fatto che gli hacker sfruttano l’immagine delle autorità federali che, soprattutto in Svizzera, godono della piena fiducia dei cittadini.
Ma il ricorso ad autorità degne di fiducia è una pratica che viene usata ovunque, anche in Italia, laddove gli hacker non risparmiano neppure di spacciarsi per Carabinieri.
Perché gli hacker scelgono la carta stampata
Una lettura la offre l’ICT Security manager Enrico Morisi: “Il cybercrime è sempre più incline al cambiamento e allo sfruttamento del progresso tecnologico, adottando tattiche, tecniche e procedure sempre più sofisticate, in un’ottica di massimizzazione del risultato.
Il confine tra dominio fisico e digitale è divenuto via via sempre più indefinito e, d’altro canto, il social engineering si conferma uno dei principali vettori di attacco.
Non sorprende, quindi, che si opti per un approccio differente, creativo, tanto inatteso quanto efficace, architettando attacchi di quishing mediante l’uso della posta ordinaria: da un lato, la vittima non si aspetta di subire un attacco cyber attraverso un mezzo fisico, dall’altro i QR code vengono tipicamente scansionati utilizzando uno smartphone o, in generale, un dispositivo mobile, caratterizzati da una security posture non sempre all’altezza delle aspettative”.
Enrico Morisi spiega anche come approcciarsi correttamente ai QR code: “Un QR code andrebbe gestito con la stessa forma mentis adottata per l’utilizzo di un link, facendo tesoro di quanto viene promosso attraverso i ben noti programmi di ‘awareness’, e utilizzando app che consentano di controllare l’URL sotteso prima di visitarlo. Inoltre, le app dovrebbero essere scaricate solo ed esclusivamente dagli store ufficiali, sistemi operativi e app dovrebbero essere mantenute sempre aggiornate e sarebbe opportuno dotarsi di sistemi di Mobile Threat Defence”.
In questo articolo abbiamo parlato della necessità di controllare Url prima di visitarli e di controllare applicazioni prima di farne uso.
I rimedi
Oltre alle indicazioni fornite da Enrico Morisi, le autorità elvetiche hanno dato consigli alla popolazione affinché nessuno acquisisse il codice QR. A chi fosse già caduto nella trappola viene consigliato di ripristinare il dispositivo Android allo stato di fabbrica.
Questa tecnica, per quanto radicale, risolve il problema specifico del malware Octo2 ma non può essere sempre adottata. In altre parole, il reset del dispositivo non è sempre salvifico, si pensi per esempio ad alcuni rootkit e trojan particolarmente sofisticati che riescono a istallarsi nelle partizioni di sistema che non vengono toccate dalle procedure di ripristino.
Non di meno, anche quando si effettua un reset del dispositivo, si tende a dimenticare di formattare eventuali SD Card.
In ogni caso, è opportuno modificare tutte le password utilizzate per accedere ai diversi account legati alle app installate sul dispositivo.
