L’app di tracciamento Covid-19, Immuni, è online: ci sarà ora una fase di avvio di test rendendo disponibile l’applicazione solo in alcune regioni per poi man mano essere messa a disposizione di tutti i cittadini italiani. Una fase dunque molto delicata, perché consentirà di capire quali sono i rischi cyber a cui è realmente esposta e perché potrebbe essere l’occasione giusta per avviare un efficace piano di sensibilizzazione degli utenti sul suo corretto utilizzo.
Indice degli argomenti
App Immuni e rischi cyber: quali sono i reali target
Un momento importante, un banco di prova che tutti stavano aspettando. Il team di sviluppo di Immuni, Bending Spoons, avrà tutti gli occhi puntati su di sé e sono certo che avrà anche adottato non solo le tradizionali misure di sicurezza preventiva attraverso l’analisi del codice e le attività di Mobile Penetration test, ma anche soluzioni di sicurezza proattiva e predittiva al fine di contrastare da un lato azioni malevole, ma dall’altro anche anticiparle attraverso azioni di Cyber Threat Intelligence.
Un lancio discusso e dibattuto soprattutto per gli aspetti legati alle tematiche di cyber security e di privacy.
C’è da aspettarsi che i ricercatori cyber italiani e non inizieranno ad analizzare tutta l’applicazione per identificare le possibili falle e criticità e segnalarle attraverso le tradizionali procedure di Responsible Vulnerability Disclosure, tenuto conto delle informazioni disponibili e dei relativi impatti per gli utenti che liberamente sceglieranno o hanno scelto di registrarsi.
Ma i criminal hacker sono purtroppo già in azione.
In queste situazioni aiuta ricordare una frase di Albert Einstein “Fate le cose nel modo più semplice possibile, ma senza semplificare”. Una frase che rispecchia in pieno il modus operandi di un qualsiasi criminal hacker. Rendere semplice senza semplificare.
Come sfruttare l’opportunità del lancio di Immuni? È sicuramente la domanda che i criminal hacker si sono posti e si stanno ponendo.
Mentre tutti si stanno concentrando sul target principale superprotetto e tutelato – almeno questa è l’aspettativa di tutti noi – ci sono due target forse più semplici da “approcciare e che possono garantire lo stesso risultato.
Nelle analisi dei rischi l’approccio alle dinamiche dominanti di John Forbes Nash deve essere necessariamente considerato.
Nello specifico, mentre i ricercatori si concentreranno sull’app Immuni, quasi sicuramente i target veramente oggetto di cyber attack saranno la stessa azienda di sviluppo Bending Spoons e gli stessi utenti.
La prima sarà sicuramente attenzionata con attività di cyber attack più tecniche, ma per entrambi i target la metodologia maggiormente utilizzata sarà proprio quella di social engineering (attività digitali e non che hanno l’obiettivo di ingannare la potenziale vittima al fine ad indurla ad effettuare azioni o per rubare informazioni).
Bending Spoons sotto la lente di ingrandimento
Non credo ci possano essere dubbi che in questi mesi l’azienda a cui è stato dato il delicato incarico di sviluppare l’intera applicazione governativa sia stata oggetto di attenzione da parte di tutti.
Poter accedere direttamente nel “laboratorio” dell’applicazione potrebbe senza ombra di dubbio garantire ai criminal hacker un accesso privilegiato a Immuni stessa.
In Bending Spoons avranno sicuramente dovuto fronteggiare diversi cyber attack. Sono sicuramente ipotizzabili azioni tradizionali di Domain Threat Intelligence con lo scopo di identificare quali informazioni in termini di vulnerabilità ed e-mail compromesse potessero essere già disponibili a livello web, dark web e deep web.
Allo stesso modo si saranno scontrati con diversi tentativi di accesso ai vari sottodomini esposti, con i criminal hacker che cercano di carpire dalla naming convention degli URL stessi quali e se fanno riferimento proprio all’app Immuni e allo stesso tempo identificare le possibili aree di staging o DB esposti con il rischio di trovare in realtà servizi relativi a terze parti loro clienti.
Un lavoro immane e notevole di contrasto che Bending Spoons ha gestito in maniera brillante e che continuerà sicuramente a fare, tenuto conto del tasso tecnico e tecnologico dell’azienda e del suo team.
Accanto a questi tentativi un po’ più tecnici, ovviamente sono stati e saranno oggetto di varie tecniche di social engineering. È incredibile il numero di informazioni, e-mail aziendali, personali e cellulari che potenzialmente potrebbero essere identificati tramite i canali social o anche tramite le diverse applicazioni di marketing e di biglietti da visita disponibili online. Tutte informazioni utili e indispensabili per un criminal hacker intenzionato a lanciare una campagna di social engineering proprio nei confronti dell’azienda.
Immuni e i rischi di social engineering per gli utenti
L’altro target che sarà oggetto di attenzione da parte dei criminal hacker siamo noi: gli utenti. Prepariamoci, dovremo e saremo costretti a “non abbassare la guardia”. Saremo bersagliati da diverse tecniche di social engineering e il cybercrime cercherà in tutti i modi di carpire le nostre informazioni o di infettare con malware i nostri dispositivi, computer o smartphone.
Le tecniche maggiormente utilizzate saranno sicuramente:
App Immuni e rischi cyber: phishing e smishing
Il phishing era e continua ad essere il principale mezzo per la diffusione di malware e, in generale, per lanciare cyber attacchi. La cara e vecchia e-mail contenente allegati, link o sign-up form studiati per rubarci le credenziali è ancora attualissima. Costa poco, richiede pochissimo sforzo tecnico e garantisce un volume di attacchi difficilmente eguagliabile.
La sua forza è la letteralmente la nostra debolezza, che sia culturale o semplicemente frutto di paure: dall’offrire cure contro la Covid-19 fino ad impersonare l’Agenzia delle Entrate, i criminal hacker dietro il phishing non hanno certo dimostrato mancanza d’ingegno, l’arrivo di Immuni potrebbe essere l’ennesima leva valida.
Naturale evoluzione di questa tecnica è lo smishing. Nome che deriva dal mezzo attraverso cui sono inviate le comunicazioni malevoli alla vittima: l’SMS appunto (o qualsiasi altro mezzo di comunicazione istantanea come WhatsApp o Facebook Messenger).
Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire la Call To Action richiesta dai cyber criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login.
Dove troveranno le nostre e-mail? Ovviamente nei tanti enormi database di e-mail compromesse che possiamo tranquillamente trovare non solo nel dark web ma anche attraverso una attenta ricerca su Google.
Facile immaginare come Immuni, nata e costruita come mobile app, possa diventare un’esca efficace per questa tecnica.
App Immuni e rischi cyber: false mobile app
Leggermente più avanzata come metodologia, la diffusione di fake app, ovvero app civetta che imitano Immuni per acquisire i dati degli utenti, sono sicuramente un altro cyber risk da tenere in considerazione.
Queste colpiscono in particolare i dispositivi Android, visto che Google Play Store è fin troppo spesso ricettacolo di questi fake.
Un’emergenza nota alla stessa Google, che ha provato a metterci una pezza con il Play Protect, una sorta di scanner antivirus che analizza le app prima che queste vengano installate sullo smartphone. Ma questo non ha fermato i criminal hacker che riescono ancora a bypassare il sistema.
Una volta installata sullo smartphone e ottenuti i permessi richiesti, una “fake” Immuni potrebbe agire indisturbata all’interno del dispositivo.
App Immuni e rischi cyber: lo spoofing
Lo spoofing, traducibile con “manipolazione” o “occultamento”, è una tecnica usata dal cyber crime per mascherare e imitare l’identità di utenti o di dispositivi.
Di fatto è un tipo di falsificazione tecnologica utilizzata per far credere alla vittima che l’identità del mittente del contatto o del contenuto ricevuto siano assolutamente attendibili.
Parte anche del phishing, lo spoofing è in grado di spingersi più “in là” con attacchi molto più chirurgici e avanzati. Come? Ad esempio, impersonando un mittente conosciuto e affidabile per la vittima prescelta.
Come per le altre metodologie di attacco il bersaglio sono sempre i dati sensibili.
La versatilità dello spoofing lo rende anche molto adattabile a vari mezzi e strumenti di attacco:
- Mail Spoofing: dove il mittente di una mail viene modificato per contraffare la reale provenienza. In questo caso, le informazioni vengono estratte dall’e-mail di un account compromesso o tramite ricerche di dati pubblici o nel Dark Web;
- DNS Spoofing: il DNS, detto in parole semplici, è il sistema che regola la traduzione dei nomi dei nodi della rete in indirizzi IP. In questo tipo di spoofing viene messa in atto la modifica del server DNS al fine di dirottare un nome di dominio specifico verso un indirizzo IP diverso.
- SMS Spoofing: simile concettualmente allo smishing, consiste nell’invio di un messaggio da parte di un mittente falso oppure inesistente. Oggi i moderni smartphone mostrano il cosiddetto CLI (Calling Line IDentifier), per identificare il numero telefonico dell’utente chiamante presente nei contatti della nostra rubrica o, nel caso delle aziende, dell’elenco pubblico. Dirottando il CLI per assumere una falsa identità, attraverso la pratica del “CLI Spoofing”, i criminal hacker prendono di mira aziende ed utenti.
- Web Spoofing: in questo caso, la vittima crede di visitare il sito internet desiderato, mentre in realtà si tratta di un sito contraffatto. Sarà sufficiente cercare e registrare domini similari che possano ingannare l’utente.
Tutto questo arsenale potrebbe essere fin troppo facilmente impiegato per dirottare tutto il traffico e l’interesse che sicuramente la sola parola Immuni avrà nelle prossime settimane.
App Immuni e rischi cyber: il malvertising
Anche la tecnica del malvertising di per sé non ha un elevato livello di competenze tecniche di base richieste, ma è facile immaginare come le pagine web potrebbero a breve essere inondate di falsi annunci studiati ad hoc per ingannare gli utenti meno esperti ad effettuare clic “avventurosi” e trovarsi immediatamente colpiti da malware o simili.
Conclusione
È difficile immaginare un’applicazione – particolarmente in Italia – che porta con sé tante aspettative e al contempo dubbi, come Immuni.
Senza mettere in dubbio il suo ipotetico valore come salvaguardia e monitoraggio per questi momenti di Fase 2 avanzata della pandemia, è più che legittimo mettere in discussione come il suo debutto è stato/sta per essere gestito.
Quelli che ho menzionato poco prima sono solo alcuni dei rischi potenziali che potrebbero essere usati per colpire tutti noi, semplicemente facendo leva su Immuni e la sua popolarità.
Ma non ci stiamo dimenticando che uno dei pilastri della cyber security è proprio l’awareness.
Dopo tutto, dai ragazzi della Gen Z ai pensionati, tutti avranno modo di utilizzare l’app.
Perché nei tanti annunci in TV sulla Covid-19, non è stata fatta alcuna menzione né tantomeno sensibilizzazione ai rischi cyber proprio in prospettiva del lancio?
Perché non è stato messo in agenda la necessità di dare informazioni e strumenti ai tanti cittadini su come evitare di essere truffati o diventare vittime dei malintenzionati?
Se non è chiaro, il vero problema sarà proprio questo: per noi cittadini e per le stesse aziende.
