“Ciao! Mia nipote partecipa a un concorso! Puoi votarla? Per lei significa tantissimo”. Messaggi di questo tipo sono da tempo diffusi su WhatsApp e dietro alcuni di questi si nasconde un attacco che potrebbe colpire potenziali vittime e portare alla perdita del proprio account.
Lo riferisce Kaspersky spiegando che i cybercriminali preparano l’attacco creando per prima cosa pagine di phishing convincenti che ospiteranno sondaggi di voto fasulli: l’esempio qui sotto riguarda giovani ginnaste, ma lo scenario è facilmente adattabile a ogni contesto. Le pagine appaiono autentiche: includono foto di partecipanti reali, pulsanti Vota e contatori che mostrano quante persone hanno già votato. È facile immaginare che con l’ausilio dell’AI e di kit di phishing gli autori degli attacchi producano con facilità anche versioni in più lingue dello stesso sito. Kaspersky riferisce di avere individuato lo stesso sondaggio in inglese, spagnolo, tedesco, turco, danese, bulgaro e altre lingue.
Come funziona la trappola
Prima fase. Sui social network, nei servizi di messaggistica o tramite e-mail, i truffatori utilizzano tecniche di social engineering per reindirizzare l’utente al falso sito di voto. Il pretesto può essere credibile e il messaggio provenire da un amico o un parente il cui account è stato compromesso. La richiesta è solitamente personalizzata: nel primo messaggio il truffatore che si spaccia per un conoscente chiede di votare per un determinato concorrente perché è un suo rappresentante, un amico o un parente.
Seconda fase. Quando si fa clic su “Vota”, si viene reindirizzati a una pagina che richiede di autenticarsi velocemente tramite WhatsApp. Basta immettere il numero di telefono associato al programma di messaggistica.
Terza fase. Gli autori degli attacchi sfruttano la funzionalità di accesso tramite codice monouso in WhatsApp Web. Immettono il numero di telefono fornito dall’utente ignaro, WhatsApp genera un codice di verifica monouso di otto caratteri. Gli autori dell’attacco visualizzano immediatamente quel codice sul sito falso, accompagnato da istruzioni: apri WhatsApp, vai su “Dispositivi connessi” e immetti il codice. Per comodità, è persino disponibile un pulsante per copiare il codice negli Appunti.
WhatsApp sul telefono visualizza una richiesta per collegare un nuovo dispositivo digitando il codice. Facendo clic su questa opzione verrà visualizzato un avviso che qualcuno sta tentando di connettersi all’account, con un campo per immettere il codice.
Purtroppo, molti utenti, nel desiderio di aiutare un perfetto estraneo a vincere un concorso, non leggono attentamente gli avvisi di WhatsApp. Non appena la negligente vittima digita il codice nell’app sul telefono, viene attivata la sessione Web avviata dagli autori dell’attacco.
Se si immette il codice, i cybercrimnali informatici ottengono l’accesso completo a WhatsApp come se fosse stato stato l’utente stesso ad accedere, ad esempio da un computer accanto al telefono. li autori dell’attacco possono visualizzare tutti i contatti, leggere conversazioni, inviare ed eliminare messaggi a nome dell’utente e persino assumere il controllo completo dell’account. Questo apre a ulteriori possibilità di frode, come impersonare l’utente per estorcere denaro ai suoi contatti o diffondere il collegamento di phishing incriminato.
Come proteggere l’account
Tra i consigli per proteggere l’account Whatsapp:
- Non partecipare mai a concorsi o votazioni dubbie, soprattutto se richiedono autenticazione. I sondaggi legittimi non richiedono l’accesso agli account personali degli utenti.
- Non fare clic su collegamenti sospetti nei messaggi, anche se provengono da amici o parenti. I loro account potrebbero essere stati manomessi.
Non immettere mai i dati personali su siti Web sconosciuti, in particolare quelli raggiunti tramite messaggi o collegamenti a social media. Controllare sempre attentamente l’URL. - Abilitare la verifica a due fattori nelle impostazioni WhatsApp: questa scelta renderà necessario immettere un codice PIN a sei cifre per accedere con un nuovo dispositivo, complicando il lavoro degli autori degli attacchi anche in caso di numero compromesso. Tuttavia, non protegge dall’attacco sopra descritto: il codice monouso mostrato è, secondo WhatsApp, già il “secondo fattore”. Ecco perché il PIN non viene richiesto durante questo metodo di accesso
- Usare una passkey invece delle password tradizionali, ovunque possibile. WhatsApp supporta già le passkey per la verifica dell’account.
Per tutti gli aggiornamenti sulla sicurezza informatica è possibile consultare la sezione dedicata di Macitynet.
