LA GUIDA PRATICA

Account WhatsApp hackerato: ecco come mettere in sicurezza le nostre conversazioni

Ritrovarsi con l’account WhatsApp hackerato potrebbe essere un serio problema, soprattutto quando l’app di messaggistica viene utilizzata per la propria attività lavorativa: i criminal hacker, infatti, avrebbero facile accesso ad una grande quantità di dati e informazioni riservate. Ecco una guida pratica per mettere in sicurezza le conversazioni

26 Nov 2019
M
Emanuele Marsano

IT Security Consultant


Non è così improbabile ritrovarsi con il proprio account WhatsApp hackerato: il successo e l’enorme popolarità espongono infatti l’app di messaggistica ad una serie di rischi di varia natura, in parte simili a quelli già analizzati per Facebook e Twitter: tra questi, il più pericoloso è senza dubbio l’interesse che l’app suscita nei pirati informatici e nei curiosi di ogni genere al fine di spiare conversazioni altrui.

Come proteggerci, quindi, da spie e criminal hacker? Quali sono le misure di sicurezza da adottare per proteggere la nostra privacy? Queste sono solo un esempio delle domande che gli utenti mi pongono quotidianamente mentre utilizzano WhatsApp.

Protetti con la crittografia end-to-end

La società di Zuckerberg, al fine di prevenire e combattere questo tipo di minaccia, dal 2016 ha introdotto un sistema di protezione chiamato: “crittografia End to End”. Questo sistema impedisce ai malintenzionati di leggere i messaggi scambiati tra gli utenti in quanto, seppur intercettati, risulterebbero incomprensibili, assicurando che solo gli interlocutori possano leggere quello che viene inviato.

Ciò avviene perché i messaggi è come se fossero protetti con un lucchetto e solo il mittente e il destinatario hanno la chiave “speciale” necessaria per sbloccarli e leggerli. Anche le chiamate WhatsApp sono crittografate end-to-end.

Tutto questo avviene automaticamente, senza la necessità di attivare alcuna impostazione.

Il sistema di crittografia end-to-end è infallibile in caso di intercettazione di messaggi e chiamate, ma può essere aggirato con altre modalità. Un malintenzionato può ad esempio impossessarsi del nostro telefono cellulare e avere così libero accesso a tutte le nostre chat, oppure clonando l’applicazione WhatsApp e/o sfruttando le possibili falle nel sistema.

Vediamo, allora, alcuni suggerimenti e istruzioni pratiche per aumentare il livello di protezione delle nostre conversazioni, ricordando che una misura di sicurezza non esclude le altre ma anzi ognuna di esse ci aiuta a proteggerci da determinate minacce piuttosto che da altre.

Account WhatsApp hackerato? Aggiorniamo l’app

Tutte le applicazioni (o software) sul mercato sono sviluppate sotto il profilo della loro funzionalità e subito testate per controllarne la sicurezza. Spesso, però, vuoi per questioni di tempistica legate al lancio sul mercato, vuoi perché uno sviluppatore rimane pur sempre un uomo e come tale può compiere errori, possono verificarsi falle nella sicurezza che vengono scoperte successivamente da esperti di sicurezza informatica (specialisti che lavorano per mettere in sicurezza sistemi e prodotti informatici aziendali, sia prima che dopo il loro lancio), oppure dagli utenti durante l’utilizzo di un’app, o ancor peggio da criminali in cerca di errori nel codice, il c.d. bug (varco di accesso all’applicazione).

Molte aziende importanti, come quella di Zuckerberg, si affidano ad un team di esperti in sicurezza informatica, i quali sviluppano degli aggiornamenti (patch, in informatica) che servono a “tamponare” la falla individuata. Per questo motivo risulta estremamente importante applicare periodicamente tutti gli aggiornamenti di sicurezza rilasciati. Scopriamo assieme in che modo.

Aggiornare le app Android manualmente

  1. Apriamo l’app Google Play Store;
  2. Tocchiamo l’icona Menu (quella con le tre line orizzontali in alto a sinistra) e scegliamo Le mie app e i miei giochi;
  3. Le app che richiedo un aggiornamento sono contrassegnate con un’etichetta Aggiorna.
  4. Tocchiamo Aggiorna.

Aggiornare le app Android automaticamente

  1. Apriamo l’app Google Play Store;
  2. Tocchiamo l’icona Menu (quella con le tre line orizzontali in alto a sinistra) e scegliamo Impostazioni;
  3. Tocchiamo Aggiornamento automatico app;
    • Successivamente, scegliamo Tramite qualsiasi rete (se desideriamo aggiornare le app sotto rete Wi-Fi o dati mobili oppure Solo tramite Wi-Fi se vogliamo risparmiare e non consumare giga Internet del nostro piano tariffario.

Aggiornare le app su dispositivi con iOS 12 o versioni precedenti manualmente

  1. Apriamo l’App Store;
  2. Tocchiamo Aggiornamenti nella parte inferiore dello schermo;
  3. Le app che richiedo un aggiornamento sono contrassegnate con un’etichetta Aggiorna.
  4. Tocchiamo Aggiorna per aggiornare una singola app, oppure aggiorna tutto in alto a destra.

Aggiornare le app su dispositivi iOS 13

  1. Apriamo l’App Store;
  2. Tocchiamo l’icona in alto a destra (l’avatar dell’utente), la quale in presenza di aggiornamenti disponibili visualizzerà un numero che apparirà sull’avatar;
  3. In basso, nella sezione Aggiornamenti Disponibili, si trovano le app che richiedo un aggiornamento con un’etichetta Aggiorna;
  4. Tocchiamo Aggiorna per aggiornare una singola app, oppure aggiorna tutto poco sopra.

Aggiornare le app automaticamente su dispositivi iOS

  1. Apriamo Impostazioni toccando la relativa icona;
  2. Scorriamo giù e tocchiamo iTunes Store e App Store;
  3. Quindi attiviamo Aggiornamenti.

Il consiglio, per quanto banale possa sembrare, è quello di utilizzare solo app ufficiali, poiché altre versioni potrebbero non essere sicure o potrebbero state create e modificate dai criminal hacker per sottrarre dati personali.

Account WhatsApp hackerato: difendiamoci con la doppia autenticazione

Clonando la SIM di un utente, e/o utilizzando altri stratagemmi, è possibile installare l’applicazione di WhatsApp su un altro dispositivo, attivandola con il passcode che verrà ricevuto sulla SIM clonata. Come molti servizi online, anche WhatsApp ha introdotto l’autenticazione a 2 fattori, tecnica che permette di evitare queste minacce aggiungendo una verifica ulteriore, ossia oltre al passcode ricevuto tramite SMS è necessario inserire una password durante l’installazione.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Per abilitare questa misura di protezione è necessario seguire i seguenti passaggi:

  1. Accedere alle Impostazioni all’interno di WhatsApp;
  2. Selezionare la voce Account;
  3. Aprire Verifica in due passaggi;
  4. Toccare su Abilita;
  5. Inserire un PIN a 6 cifre e successivamente reinserirlo per confermare (questo codice verrà richiesto di tanto in tanto per evitare che l’utente lo dimentichi);
  6. Nella schermata seguente inserire la propria e-mail e selezionare Avanti; ripetere l’e-mail e poi toccare Fatto. Il consiglio è quello di inserire in modo accurato la nostra e-mail, poiché necessaria in caso dimentichiamo il PIN; invece, se non abbiamo voglia di farlo, possiamo anche bypassare la richiesta selezionando Salta.

La stessa WhatsApp ha informato gli utenti che in caso di ricezione di una e-mail con un link per la disattivazione dell’autenticazione a due fattori (2fa), senza averne mai fatto richiesta, è necessario non aprire il collegamento in quanto potrebbe trattarsi di una truffa: “Se ricevi un’e-mail non richiesta da te per la disattivazione della verifica in due passaggi, non cliccare sul link. Qualcuno potrebbe aver tentato di verificare il tuo numero di telefono su WhatsApp.

Se hai abilitato la verifica in due passaggi, dovranno passare 7 giorni dall’ultimo utilizzo di WhatsApp senza il PIN prima di poter verificare nuovamente il tuo numero su WhatsApp. Pertanto, se dimentichi il PIN, ma non avevi fornito un indirizzo email al momento dell’attivazione della verifica in due passaggi, nemmeno tu potrai verificare nuovamente il numero su WhatsApp nei 7 giorni successivi all’ultimo utilizzo di WhatsApp. Trascorsi i 7 giorni, si potrà riverificare il numero su WhatsApp senza il PIN, ma tutti i messaggi in attesa verranno cancellati. Se trascorrono 30 giorni dall’ultimo utilizzo di WhatsApp senza PIN e tenti di verificare nuovamente il tuo numero, il tuo account verrà eliminato e ne verrà creato uno nuovo durante il processo di verifica”.

Account WhatsApp hackerato: bloccare l’accesso all’app

Le nostre conversazioni potrebbero essere spiate in vari modi come nel caso in cui il dispositivo finisse nelle mani di qualcuno che conosce il codice di sblocco, o peggio ancora, in caso di perdita o furto dello smartphone e accesso a quest’ultimo non protetto.

La raccomandazione da seguire in ogni caso è quella di bloccare l’accesso allo smartphone tramite qualsiasi sistema di autenticazione presente sul dispositivo (password, segno, Touch ID o Face ID). In aggiunta, è possibile impostare anche un sistema di blocco all’apertura delle chat di WhatsApp.

Per i dispositivi con sistema iOS, che sfruttano il sistema di riconoscimento Touch ID (sblocco con impronta digitale) presente su Apple iPhone 5s, 6 e 6 Plus, 6s e 6s Plus, SE, 7 e 7 Plus, 8 e 8 Plus, o Face ID (sblocco con riconoscimento facciale) presente su Apple iPhone X e versioni successive, oltre che all’eventualità di ricorrere ad app di terze parti, è possibile attivare delle impostazioni fornite da WhatsApp:

  1. Configurare uno dei due sistemi di riconoscimento biometrici e quindi di sblocco accedendo alle impostazioni dello smartphone;
  2. Scorrere fino ad individuare la voce Touch ID e codice o Face ID e codice; se richiesto, inserire il codice;
  3. Abilitare il riconoscimento biometrico disponibile seguendo la procedura;
  4. Accedere alle Impostazioni all’interno di WhatsApp;
  5. Selezionare la voce Account;
  6. Aprire Privacy;
  7. Scorrere giù e toccare Blocco schermo;
  8. Abilitare Richiedi il Touch ID o Richiedi Face ID;
  9. Impostare dopo quanto tempo è necessario sbloccare WhatsApp con la funzionalità appena attivata.

Al contrario, per gli smartphone con sistema operativo Android non è possibile proteggere l’accesso di WhatsApp utilizzando direttamente le misure di sicurezza fornite dall’app, poiché queste impostazioni sono state introdotte solo per i sistemi iOS.

Tuttavia, questa limitazione si può superare impostando un blocco con PIN, segno o impronta digitale, grazie all’utilizzo di applicazioni di terze parti presenti negli store degli smartphone, come: 360 Security, AppLock e via dicendo. Queste app permettono di bloccare l’accesso a qualsiasi applicazione presente sul tuo dispositivo.

WhatsApp Web: ecco come metterlo in sicurezza

È possibile chattare con i propri contatti di WhatsApp anche da PC utilizzando WhatsApp Web, funzionalità che permette una scrittura più rapida e un risparmio della batteria dello smartphone.

È importante precisare che non verrà creato un altro account, ma verrà utilizzato quello presente sullo smartphone e di conseguenza tutti i messaggi scambiati tramite computer verranno visualizzati anche sullo Smartphone e viceversa.

Per accedere da PC è sufficiente accedere alla home page di WhatsApp Web tramite un browser qualsiasi. Sullo smartphone bisogna aprire WhatsApp, accedere al Menu e selezionare l’opzione WhatsApp Web. Ora è necessario rivolgere il proprio telefono verso lo schermo del PC e inquadrare il codice QR (una sorta di quadrato con tanti puntini nel mezzo) e il gioco è fatto: è stata aperta una sessione di WhatsApp Web. Adesso verranno visualizzate tutte le conversazioni di WhatsApp sullo schermo del computer.

Questa funzionalità, oltre ad essere molto utile e apprezzata dagli utenti, presenta alcune vulnerabilità.

Chiunque, impossessandosi del nostro cellulare, potrebbe spiare le conversazioni seguendo la procedura descritta in precedenza. Per non correre questo rischio è importante proteggere sempre l’accesso allo smartphone o all’app di WhatsApp, evitando che la procedura utilizzata per lo sblocco sia conosciuta da altri.

È possibile controllare dal proprio smartphone se si ha una sessione di WhatsApp Web aperta, accedendo alle impostazioni di WhatsApp e toccando poi su WhatsApp Web; se non c’è nessuna sessione aperta verrà attivata la fotocamera per la scansione del codice QR, in caso contrario, vi fornirà alcune informazioni riguardo i dispositivi connessi (città nella quale è stato effettuato l’accesso, browser utilizzato e sistema operativo del PC); se riteniamo di non aver fatto l’accesso a WhatsApp Web è necessario toccare su Disconnetti da tutti i dispositivi e poi ancora Disconnetti per confermare.

L’utilizzo di WhatsApp Web può anche essere rischioso nel caso si utilizzi un PC non nostro o che non usiamo solo noi. In questo caso si può incorrere in due inconvenienti:

quando chiudiamo un browser bisogna assicurarsi sempre di effettuare la disconnessione dal servizio, cliccando sul pulsante raffigurante i tre puntini e poi scegliendo Disconnetti. Non effettuando questa operazione, chiunque accederà al sito di WhatsApp Web troverà visualizzate le nostre conversazioni.

le nostre chat possono essere spiate quando inconsapevolmente utilizziamo un PC sul quale un malintenzionato ha installato un programma in grado di effettuare degli screenshot dello schermo (immagini di ciò che viene visualizzato sullo schermo) o di memorizzare tutto ciò che viene digitato sulla tastiera (keylogger). Per non incorrere in questo pericolo il consiglio è di utilizzare WhatsApp Web solo su nostri PC o tuttalpiù di persone fidate.

Account WhatsApp hackerato: difendersi dai malware

Su WhatsApp girano spesso messaggi truffaldini che invitano gli utenti a compiere azioni apparentemente innocue con lo scopo di installare un malware sul dispositivo colpito.

Queste minacce possono essere di diverse tipologie: alcune hanno come obbiettivo il danneggiamento dello smartphone, altre la sottrazione dei dati e altre ancora possono essere utilizzate per spiare le conversazioni dell’utente.

Non sono pochi i casi di dispositivi attaccati da malware. Vediamone alcuni per capire le modalità che sono state utilizzate per colpire i sistemi:

  • messaggi che ci invitano a cliccare su un link per evitare che l’applicazione diventi a pagamento, oppure per accedere a offerte vantaggiose o per vedere notizie sbalorditive. Messaggi di questo tipo potrebbero essere pericolosi perché, dopo aver cliccato sul link, verrà installato sullo smartphone il malware in grado di svolgere le azioni decise dal malintenzionato. Per evitare di essere colpiti da queste tecniche è consigliabile utilizzare il buon senso, evitando di abboccare ad offerte assurde;
  • gli hacker “lavorano” per sviluppare tecniche sempre più sofisticate per accedere all’interno dei sistemi. Difatti, negli ultimi tempi si sono avuti degli attacchi tramite WhatsApp, che permettevano di ottenere il controllo dell’app o dell’intero dispositivo, senza che l’utente facesse alcunché. Recentemente è stata sfruttata una falla nel sistema che ha permesso l’installazione del “malware” tramite una semplice chiamata WhatsApp, senza la necessità che il destinatario rispondesse;
  • recentemente, in una nota pubblicata su Facebook e rilasciata dalla società, è stato lanciato l’allarme in merito al fatto che WhatsApp potesse essere violato a causa di un pericoloso file con estensione MP4 (ossia un file video) malevolo.
WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

Il consiglio per non incorrere in questi pericoli è quello di eliminare i messaggi ricevuti da numeri sconosciuti senza visualizzarne il contenuto e aggiornare l’app all’ultima versione, poiché con ogni probabilità saranno state inserite delle correzioni di sicurezza.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5