WhatsApp è nel mirino di una nuova cyber truffa che ruba gli account degli utenti. L’attacco è, infatti, in grado di dirottare l’app di telefonia, con tutte le chat e la rubrica, verso gli smartphone di criminali.
“Questo tipo di attacco”, commenta Paolo Dal Checco, consulente informatico forense, “è molto più sofisticato di quello ormai noto. Infatti i criminali negli ultimi anni convincevano le vittime a comunicare loro il codice numerico inviato via SMS”.
Ecco, invece, come funziona la nuova truffa e come proteggersi.
Indice degli argomenti
Furti di account WhatsApp: come funzionano
La vecchia truffa del codice numerico spedito via SMS è andata in pensione, “probabilmente”, continua Dal Checco, “perché ormai le persone sanno che non devono comunicare codici ricevuti sul proprio telefono, anche grazie all’esperienza fatta dalle banche che ripetono continuamente di non fornire a nessuno i codici ricevuti”.
In questo caso, invece, nulla viene comunicato a terzi. “La vittima è quindi più propensa a cadere nel tranello perché si sente sicura”, prosegue Dal Checco, “dal momento che non sta fornendo credenziali o PIN, né visitando siti o installando software”.
Alla vittima i cyber criminali chiedono “semplicemente di digitare un numero misto ad asterischi o cancelletti, che può anche essere fatto passare come un codice per attivare o disattivare qualcosa”.
Infatti, i malintenzionati convincono la vittima a chiamare un numero che inizia con un codice Man Machine Interface (MMI) che l’operatore mobile configura per la deviazione di chiamata.
“L’invio in precedenza di un finto SMS di attivazione, può far credere a una potenziale vittima di aver abilitato per errore un servizio a pagamento”. A quel punto, sottolinea Dal Checco, “è facile convincerla che per disdire il servizio e non pagare il canone è sufficiente digitare un codice. Nessuno penserebbe a una truffa anzi, ringrazierebbe il chiamante per averlo aiutato a evitare inutili spese, trovandosi però senza account Whatsapp, almeno per un po’ di tempo”.
I furti degli account
Invece, “una volta che il malcapitato ha attivato la deviazione di chiamata, vedrà una notifica. Gli arriverà anche quando WhatsApp sarà migrato sullo smartphone dei criminali”, mette in guardia Dal Checco. “Tuttavia, se non reagirà subito, non avrà il tempo d’impedire l’attivazione dell’autenticazione a due fattori da parte dei delinquenti”. I cyber criminali, quindi, “impediranno al legittimo proprietario di riappropriarsi del suo account, almeno per i successivi 7 giorni”.
Il ruolo dell’autenticazione a due fattori (2FA)
Su WhatsApp è stata attivata l’autenticazione a due fattori, nota anche come 2FA. Se la vittima l’ha abilitata, sottolinea Dal Checco, “2FA richiede un’attesa di una settimana prima di restituire un account al suo legittimo detentore, anche se è in grado di ricevere sulla sua utenza un codice di autenticazione”.
L’autenticazione a due fattori è infatti una protezione del proprietario, ovviamente. “Ma quando ad attivare il 2FA è il malintenzionato che ha ‘rubato’ l’account, è il proprietario ad essere tagliato fuori per una settimana”, continua ancora l’analista, che aggiunge: “Proprio l’autenticazione a due fattori può, quindi, aiutarci a difendere da questo tipo di attacchi”.
Come proteggersi
“Nella configurazione di WhatsApp, bisogna impostare un PIN di sicurezza di sei cifre e anche un’email di recupero, per rendere vano un tentativo di furto dell’account perpetrato tramite deviazione di chiamata”.
Infatti, conclude Dal Checco, “il criminale sarà sì in grado di ricevere la chiamata con il codice di sicurezza, ma non avrà poi la possibilità d’inserire il PIN di sicurezza a meno che, ovviamente, non se lo faccia comunicare dalla vittima. Però la vittima potrebbe a questo punto insospettirsi, soprattutto perché, se ha attivato l’autenticazione a due fattori, è indice di consapevolezza dei rischi che si corrono a non avere 2FA o a comunicare a terzi il secondo fattore”.
