È in corso una nuova campagna di phishing mirata a rubare le credenziali creditizie degli oltre due miliardi di utenti WhatsApp: il vettore di diffusione è un’e-mail che invita l’utente a fornire i dati della carta di credito per rinnovare la registrazione all’app entro 24 ore, pena la perdita di tutti i messaggi, le foto e i video condivisi.
Identificata inizialmente lo scorso 30 dicembre 2020 dai ricercatori di sicurezza Kaspersky, la truffa è ancora attiva e mantiene la sua pericolosità, specialmente verso quella tipologia di utenti più distratti o meno avvezzi al dubbio che, senza fermarsi un attimo a riflettere, cadono nel tranello del link fraudolento proposto e si imbarcano in attività che coinvolgono la carta di credito.
Il tutto senza osservare con attenzione il messaggio ricevuto nella mail che fra l’altro è composto da contenuti che sembrano rifarsi a vecchie feature dell’app e che quindi ne avrebbe completamente vanificato la concretezza.
Indice degli argomenti
La truffa di phishing che sfrutta la popolarità di WhatsApp
WhatsApp, lo ricordiamo, è in questi giorni al centro di polemiche e di un intenso traffico di post e commenti sui social per l’avviso di aggiornamento dell’informativa privacy 2021 e per la discussa condivisione dei dati con Facebook e le sue aziende.
Il traffico e soprattutto il risalto mediatico generato su WhatsApp potrebbero aver spinto i criminali digitali verso lo sfruttamento della nota app di messaggistica per avviare la campagna di phishing che ne sfrutta il nome.
La truffa, come dicevamo, ricalca uno schema noto per l’adescamento delle vittime e consiste nell’invio di una e-mail al potenziale target per avvisare che il suo account WhatsApp è prossimo alla scadenza e per suggerire di rinnovare la registrazione entro 24 ore onde evitare di perdere messaggi, foto e video condivisi.
Il completamento dell’operazione può avvenire solo mediante pagamento con carta di credito che garantirebbe il rinnovo del servizio per 1 fino a 5 anni, se e solo se l’utente inserisce il codice della propria carta e altre informazioni riservate come CVC e password-3D-secure. Naturalmente l’obiettivo degli attaccanti è rubare le credenziali bancarie degli utenti con ovvie e sciagurate intenzioni di intaccarne il credito.
Il phishing di WhatsApp: vecchie tecniche per una nuova truffa
Le tecniche degli attaccanti possono includere anche espedienti e innovazioni per riuscire nella frode, tuttavia a volte si riscontrano successi nelle campagne di phishing anche utilizzando “tecniche classiche” e informazioni generiche o addirittura superate. Proprio questa nuova campagna del phishing di WhatsApp sembra essere di questo tipo.
Poiché gli account WhatsApp sono gratuiti, la richiesta di rinnovo a pagamento dovrebbe insospettire gli utenti, generare almeno un lecito dubbio facendo scaturire un controllo incrociato esterno all’app per sincerarsi se fosse davvero divenuta a pagamento e se l’account fosse davvero in pericolo.
Tuttavia, è noto come troppo spesso le persone reagiscano senza fermarsi a riflettere in presenza di un messaggio che genera urgenza verso l’azione, anche se quell’azione non ha senso. Ad una analisi più cauta, infatti, una breve ricerca su web avrebbe potuto aiutare la potenziale vittima a ricostruire la gratuità di WhatsApp verso tutti e per sempre.
Ricordiamo, infatti, come WhatsApp non fosse a pagamento per chi l’avesse scaricata prima del 2014 e come successivamente fosse stata garantita la gratuità solo per il primo anno, per poi introdurre il pagamento annuale a 0,89 € o con sconti se il rinnovo fosse stato a tre o cinque anni.
Tuttavia, nel gennaio 2016 dopo alcune polemiche proprio sui rinnovi a pagamento e molteplici abbandoni da parte degli utenti, il fondatore Jan Koum durante la conferenza DLD di Monaco annunciò l’abolizione del canone annuale e l’erogazione del servizio gratis per sempre, per consentire all’app di continuare a crescere e incrementare il numero di utenti.
Dalle schermate divulgate dai ricercatori Kaspersky si nota come la schermata truffaldina (riportata sopra) richieda l’inserimento dei dati della carta di credito, legata proprio alla scelta del periodo di abbonamento. Ma quindi questa schermata si rifà ad una vecchia feature di WhatsApp, ormai superata da almeno quattro anni e proprio questo particolare avrebbe dovuto o almeno potuto, almeno insospettire le potenziali vittime.
La direttiva PSD2 per evitare truffe come il phishing di WhatsApp
Non solo, dopo l’introduzione della normativa PSD2, sempre nel 2016, gli istituti bancari hanno dovuto rimuovere la password per autorizzare i pagamenti e procedere all’introduzione di un sistema di autenticazione a doppio fattore.
Quindi, anche l’elemento del campo con la password per autorizzare il pagamento avrebbe dovuto destare almeno un ragionevole sospetto ad un utente che avesse fatto uso regolare di sistemi di pagamento digitali.
Certamente si tratta di dettagli e non tutti gli utenti riescono ad essere attenti a questi elementi in un momento di apparente emergenza destato dal messaggio e dall’agitazione causata dalla minaccia di cancellazione dell’account.
Difficile anche spiegare come mai gli attaccanti abbiano usato feature vecchie di almeno quattro anni. Le supposizioni possono comprendere una scarsa capacità economica per acquisire “template recenti” o una inesperienza degli attaccanti stessi.
Una truffa “sempreverde” ma da cui ci si può difendere
È tuttavia evidente come gli attacchi di phishing siano relativamente semplici, a basso costo e i criminali informatici continuino a farne ampio uso come primo passo di una catena di attacco.
Dunque, non stupisce poi molto la qualità degli strumenti digitali fraudolenti adottati.
La considerazione della impreparazione delle vittime spesso costituisce una carta vincente per chi avvia una campagna e getta il phishing “nel mucchio”.
Secondo quanto emerso dal report di Kaspersky, dal titolo “Spam and phishing del Q3 2020”, infatti, nel terzo trimestre del 2020 la quota media di spam nel traffico postale globale è stata del 48,91%.
L’ultimo Report “Phishing and Fraud 2020” degli F5 lab ha addirittura sottolineato un aumento del 220% degli attacchi di phishing a causa delle tematiche legate alla Covid-19 con il numero degli incidenti di phishing che normalmente sarebbe stato destinato ad aumentare del 15% ogni anno, ma che invece, ha visto superare abbondantemente queste stime con il variare delle ondate della pandemia.
Anche i dati Clusit hanno confermato l’impennata del phishing nel 2020.
Come proteggersi dal phishing di WhatsApp
Per non rimanere vittime della truffa che vede come protagonista WhatsApp, è utile seguire questi suggerimenti:
- verificare che i messaggi provengano da fonti affidabili;
- non cliccare i link da e-mail o messaggi sospetti;
- verificare l’autenticità dei siti web visitati;
- installare una soluzione di sicurezza con database aggiornati che includano la conoscenza delle più recenti risorse di phishing e spam.
Ricordiamo anche che in generale gli attacchi di phishing mirano a violare la privacy delle vittime e a carpirne dati rivendibili o immediatamente monetizzabili. Quindi, oltre ai sopraccitati accorgimenti, possono tornare utili:
- l’adozione di VPN per i collegamenti;
- la crittografia;
- la riduzione della traccia digitale (posizione, tagging ecc.);
- la limitazione delle autorizzazioni automatiche;
- l’abilitazione dell’autenticazione a due fattori per i servizi più critici;
- l’aggiornamento periodico e puntuale dei software.
Ma più di ogni altra cosa è utile verificare, dubitare e aspettare prima di procedere verso operazioni che partano da un link ricevuto via e-mail, SMS, messaggistica istantanea e social.
Conoscere i pericoli per difendersi al meglio
Il professor Aaron Visaggio, professore associato presso l’Università del Sannio e responsabile dell’ISWAT LAB, sottolinea in proposito che il phishing continua ad essere un’arma utilizzata diffusamente e al momento intacca anche i sistemi di messaggistica istantanea come WhatsApp che sono usati sia per veicolarlo, sia come soggetto di phishing, come in questa occasione.
“Ci sono vari motivi per cui questo avviene”, prosegue l’analista. “Innanzitutto, non costa molto. In secondo luogo, nella percezione collettiva c’è una certa insensibilità verso il phishing, e addirittura quasi nulla verso lo smishing perché gli sms sono molto utilizzati per l’autenticazione multi-fattore e per le comunicazioni ufficiali relative a diversi servizi, per cui il livello di attenzione dell’utente medio si abbassa”.
Il professor Visaggio sottolinea, inoltre, quanto sia “difficile, per un occhio poco esperto, distinguere il phishing, la grafica, il tipo di testo ingannatorio e non è facile stabilire se la provenienza possa essere attendibile oppure no. Inoltre, oggi lo smartphone che pure è usato per leggere le mail, è usato spesso in momenti in cui siamo poco concentrati o andiamo di fretta: magari sbirciamo il messaggio qualche minuto prima di scendere dalla metro, mentre stiamo facendo una fila, o mentre aspettiamo di essere serviti al ristorante”.
“Attenzione perché il phishing è oggi molto utilizzato per numerose truffe, molto più articolate di questa, per esempio per aggirare l’autenticazione a due fattori o peggio in architetture dove la vittima è solo un facilitatore di una truffa o un attacco fatto a terzi. È importante che si diffonda questa cultura dell’attenzione verso l’intero ecosistema della tele-comunicazione, dalla messaggistica, ai fax (che ancora esistono e vengono usati!) comprendendo anche gli SMS. Le persone devono capire che oramai la quantità di truffe e di attacchi è in numero spaventosamente crescente e l’arma più forte che abbiamo è la diffidenza”.
