La messaggistica istantanea è, ad oggi, il mezzo di comunicazione preferito dalla maggior parte delle persone, sia in ambito personale che aziendale. Report e statistiche lo confermano: i motivi sono legati alla maggior velocità e facilità di comunicazione uniti a gratuità, semplicità d’uso e immediata disponibilità negli store, che nel tempo hanno favorito un’adozione massiva di questi strumenti.
Tuttavia, come qualsiasi altro mezzo di comunicazione online, anche la messaggistica istantanea presenta delle minacce legate alla sicurezza informatica. In parte, il problema è legato al tipo di attacchi digitali che i criminali informatici veicolano sulle app di messaggistica e, in parte, la criticità è correlata alle vulnerabilità del codice. L’appetibilità da parte degli attaccanti dipende dalla diffusione, ovvero dal largo successo che le app riscuotono nell’utenza e, quindi, dal traffico generato tra gli utenti, mentre le vulnerabilità sono legate alla mancata applicazione di prassi e accorgimenti di sicurezza nella progettazione e nel deploy.
Le app di messaggistica più note sono WhatsApp, Messenger, Snapchat, Viber, Wechat, Signal, Telegram, ma spesso questi stessi nomi salgono agli onori della cronaca per problematiche di sicurezza. Per ovviare al problema, però, e blindare le proprie comunicazioni, è possibile attuare una difesa responsabile scegliendo dei tool di instant messagging progettati mettendo la sicurezza degli utenti al centro.
Indice degli argomenti
Minacce digitali alle comunicazioni
Già nel 2020, le app di messaggistica avevano superato i social network del 20% in termini di popolarità tra gli utenti, diventando lo strumento di comunicazione più utilizzato (fonte: “The Most Popular Communication Method Globally in 2020 & Beyond”). Con la pandemia e lo smart working, la tendenza si è consolidata. In effetti, i risultati di un sondaggio svolto a ottobre di quest’anno mostrano sia come nel 2020 il numero totale di utenti di queste app, a livello globale, era pari a 2,7 miliardi, sia come entro il 2023 il numero di utilizzatori sia previsto in crescita fino a raggiungere i 3,1 miliardi.
Questa somma rappresenta quasi il 40% della popolazione mondiale, una platea di utenti particolarmente attraente per i criminali informatici che tentano di violarne dati, account e identità con ogni mezzo. Il rischio, tuttavia, non è solo per la singola persona: infatti, l’adozione delle app di messaggistica in ambito aziendale e di business è una prassi comune, e in questo caso i dati aziendali per gli attaccanti sono ancora più appetibili. La pratica del Bring Your Own Device (BYOD) in questo senso ha acuito il problema. L’ultima edizione dell’ENISA threat Landscape 2021 evidenzia fra i trend in ascesa il fenomeno dell’instant messaging spam, ovvero l’invio di grandi quantità di messaggi indesiderati, generalmente commerciali e più spesso contenenti link dannosi e fraudolenti a fini malevoli.
In effetti, le app di messaggistica sono frequentemente utilizzate dai truffatori digitali che adottano tecniche di phishing o quelli che utilizzano attacchi di ingegneria sociale per attirare l’attenzione delle loro vittime, offrendo imperdibili offerte, download gratuiti, concorsi o, addirittura, dichiarando che il dispositivo dell’utente è infetto ed è necessario cliccare sul link per le verifiche di sicurezza. L’obiettivo ultimo resta sempre quello di indurre la vittima in errore, in modo che condivida le informazioni riservate o effettui azioni specifiche legate alla disclosure delle sue password, o di codici personali o aziendali (fonte: Agenda digitale).
Kaspersky ha divulgato alcuni dati in proposito. Tra questi, i clic anonimi sui link di phishing nelle app di messaggistica più note, che tra dicembre 2020 e maggio 2021 hanno registrato 91.242 casi a livello globale. Il maggior numero di link dannosi è stato rilevato su WhatsApp, mentre Telegram, Viber e Hanghouts ne hanno contati meno. Tatyana Shcherbakova, Senior Web Content Analyst di Kaspersky spiega che “A volte può essere difficile capire quando ci si trova di fronte ad un attacco phishing, perché a fare la differenza può essere anche solo un carattere o un dettaglio trascurabile. Nella lotta contro il phishing nelle app di messaggistica serve fare molta attenzione ma anche usare tecnologie anti-phishing”. Si ricorda che il phishing è il primo passo nella catena di compromissione di diversi tipi di malware: trojan, ransomware e APT in generale. In fine, in ambito bancario i rischi legati all’instant messaging costituiscono una categoria di studio e di approfondimento peculiare (fonte: SANS ORG).
Non meno temibile è anche la minaccia legata allo spionaggio delle comunicazioni (infiltrazione o intrusione digitale), finalizzato a sottrarre informazioni di proprietà intellettuale o legato ad operazioni di intelligence di stampo statuale, messe in atto al fine di assumere l’identità di qualcun altro, sorvegliare, tracciare, monitorare soggetti o gruppi specifici. Nella sfera personale, invece, l’intercettazione dei messaggi assume contorni legati alla sottrazione di informazioni personali per la divulgazione non autorizzata (bullismo, shaming, molestie).
L’intromissione può avvenire mediante compromissione del device mobile che ospita la chat di messaggistica e sono possibili sottrazioni a mezzo di malware di tipo keylogger – analizzatori della cronologia – ma sono temibili anche i controlli degli spostamenti mediante il tracking GPS o il geofencing.
Fra le minacce spesso sottostimate, vi è l’ingenuità da parte degli utenti di utilizzare reti wireless gratuite e non protette, che può favorire sniffing dei dati e acquisizione non autorizzata di informazioni personali o aziendali. infine, è necessario prestare attenzione a cosa si installa sul proprio device per evitare di introdurre malware nascosti in app apparentemente lecite, capaci, però, di interferire con le informazioni del device, comprese le app di messaggistica.
Vulnerabilità legate alla messaggistica
Oltre ai rischi legati alle modalità di attacco, è necessario considerare i problemi intrinsechi alle app di messaggistica di oggi, che possono non essere correttamente equipaggiate di accorgimenti di sicurezza. Esempi di questo tipo riguardano:
- l’assenza di back up di dati non cifrati o non protetti on premise o in cloud (dipendentemente dove l’app salva i dati);
- la trasferibilità delle informazioni personali senza che l’utente possa rendersene conto; la mancanza di cancellazioni permanente dei dati personali scambiati nelle chat;
- la mancanza di certificazione del software;
- la mancata applicazione di controlli di sicurezza del codice sorgente per evidenziare bug o vulnerabilità.
Molte app di messaggistica, essendo pubbliche e ospitate in cloud, possono includere falle di sicurezza che, se sfruttate, permettono ad un malintenzionato digitale di accedere alla rubrica della vittima e esfiltrarne i contatti, accedere alla posizione, visualizzare foto e video, effettuare intercettazioni ambientali a mezzo microfono ed effettuare screenshot tramite l’accesso fraudolento alla videocamera.
In generale, vi sono, quindi, pochi controlli sulla sicurezza, gestione e archiviazione dei dati e, quindi, sulla loro RID (Riservatezza, Integrità e Disponibilità), con il risultato che i dati vengano modificati, alterati e trasmessi esternamente.
Best practice per la protezione
Anche se sono in molti a pensare di non avere nulla da nascondere, il tema cruciale è l’uso distorto e dannoso che l’attaccante può fare dei dati del singolo. Quindi, è necessario e doveroso tutelare sé stessi e la propria azienda adottando e scegliendo app di messaggistica secondo diversi criteri di protezione. Il Centro per la Cyber Security Australiano (ACSC) ha emesso e aggiorna periodicamente un documento di suggerimenti sia per la security nell’uso dei social sia per la sicurezza delle app di messaggistica ad uso personale e aziendale.
Tra le misure suggerite, la prima riguarda l’esigenza di crittografia end-to-end affinché la comunicazione sia sicura, rendendo non accessibili i propri dati, considerati la nuova merce di scambio dai cybercriminali. Per il contrasto al phishing è necessario prestare attenzione agli errori di ortografia o ad altri dettagli presenti nei link.
Luca Feletti, Project manager di Crypty del Gruppo Uniquon, suggerisce alcune prassi di sicurezza legate alle app di messaggistica: “il canale di comunicazione fra due interlocutori dovrebbe essere cifrato con cifratura robusta per evitare attacchi Man-In-The-Middle (MITM) e il furto di credenziali. Anche il canale di transito dovrebbe essere protetto e tale da tenere al sicuro i metadati di gestione della comunicazione client/server ad esempio mediante apposita VPN. Il tutto dovrebbe essere controllato da sistemi che possano capire se ci sono problemi, quali telemetrie per controlli o accertamenti di routing. In caso di criticità evidenziate dai monitoraggi, una procedura di alerting che arrivi anche al wiping profondo per la cancellazione permanente dei dati potrebbe impedire esfiltrazioni non autorizzate. Questi strati di difesa generano una bolla di sicurezza all’interno della quale nulla può essere violato. Per la tutela della privacy dei dati in ottica GDPR, sono inoltre necessari accorgimenti di crittografia sui media scambiati nell’app di messaggistica; client e server dovrebbero essere autenticati con autenticazione a due fattori e gli account anonimizzati per non mostrare numeri di telefono che possono far riconoscere l’utente finale (ovvero nessuna Personal Identifiable Information, PII, visibile esplicitamente). Infine, è preferibile che il data center di gestione dei servizi dell’app risieda in Europa”.
In termini di buone abitudini per gli utenti è consigliabile l’uso di VPN per i collegamenti esterni all’azienda, una robusta rotazione delle password tra i vari account e dispositivi, l’abilitazione dell’autenticazione a più fattori, delle opzioni di navigazione sicura e di software antivirus (fonte: NJCCIC).
Un caso reale per non essere né ascoltatati né letti
L’applicabilità delle pratiche di sicurezza, fin dalla progettazione, comporta benefici anche in termini di costi di realizzazione e di ROI dell’investimento, perché si evitano danni materiali derivati da incidenti di sicurezza. Esempi concreti esistono anche nel mercato italiano.
Riz Zigliani, CEO di Uniquon, lo spiega citando Crypty, una piattaforma italiana di comunicazione per la sicurezza degli interlocutori che deriva da esperienza pregresse in contesti ad alta complessità: “l’app è dotata di crittografia end to end double ratchet, autenticazione client e server, e gestione protetta dei dati. Periodicamente, il codice è soggetto a controlli di sicurezza grazie alla collaborazione con gli specialisti di sicurezza dell’Università Ca Foscari di Venezia. Il controllo e monitoraggio delle comunicazioni conta sul rilevamento di eventuali presenze anomale sul terminale, innalzando il livello di warning fino a chiudere tutto per evitare le esfiltrazioni non autorizzate.”
“Tutta la componente di sicurezza – continua Zigliani – è trasparente all’utente, che interagisce con l’app mediante un’interfaccia semplificata. La piattaforma può essere installata on premise, per l’uso nei contesti aziendali, integrando la rubrica dei dipendenti ma evitandone la disclosure esplicita all’esterno. L’architettura abilitante è distribuita e prevede hardware ridondati, con un datacenter di appoggio presente su suolo europeo”.
Contributo editoriale sviluppato in collaborazione con Crypty