Un semplice errore utente di WhatsApp può portare a grossi problemi
Zak Doffman, CEO di una società di sicurezza che si chiama Digital Barrier e collaboratore di Forbes, si è recentemente imbattuto in un attacco di acquisizione di account contro utenti WhatsApp. Dimostra ancora una volta che per i criminali informatici, essere in grado di hackerare la psiche umana potrebbe essere ancora più importante che essere in grado di hackerare un servizio online.
Doffman venne a sapere dell'attacco quando un suo amico si lamentò in una chat di gruppo che il suo account WhatsApp era stato violato. Ha detto agli altri di diffidare dei messaggi che presumibilmente venivano da lei, e ha avvertito tutti di non dare via numeri a sei cifre che avrebbero potuto ricevere come testo. All'inizio sembrava un po 'strano, ma presto Zak Doffman sapeva esattamente cosa era successo, ed era piuttosto sbalordito da quanto fosse semplice e intelligente l'attacco.
Una lezione di ingegneria sociale
È impossibile dire quanto sia diffusa la truffa o se si rivolge a un determinato gruppo di utenti. Il modo in cui l'attacco funziona, tuttavia, suggerisce che chiunque lo abbia organizzato è determinato a rilevare il maggior numero possibile di account.
Le persone che sono preoccupate di compromettere le loro conversazioni private possono tirare un sospiro di sollievo. L'uso della crittografia end-to-end di WhatsApp significa che se qualcuno accede al tuo account da un dispositivo diverso, non può vedere le tue chat a meno che non abbia anche rubato il tuo backup. Ciò che possono vedere, tuttavia, sono i numeri di telefono dei tuoi amici e possono provare a compromettere anche i loro account.
Ovviamente lo fanno da un dispositivo precedentemente non riconosciuto, il che significa che è impossibile accedere senza un codice a sei cifre che il proprietario dell'account riceve come SMS. L'attaccante utilizza il tuo account già compromesso per impersonarti, tuttavia, e cortesemente chiede il codice di cui sopra. Gli aggressori sperano che la fiducia instaurata tra te e il tuo amico sia sufficiente affinché il codice venga consegnato senza esitazione. Nella maggior parte dei casi, con questo, i truffatori possono assumere l'account del tuo amico.
È un classico attacco di ingegneria sociale e il modo in cui funziona mostra che il conteggio delle vittime potrebbe facilmente perdere il controllo. Il fatto che tirarlo fuori non richieda un enorme investimento finanziario lo rende ancora più attraente per i criminali informatici non sofisticati, motivo per cui probabilmente dovremmo parlare di cosa puoi fare per proteggerti.
Come individuare l'ultima truffa di WhatsApp?
Si tratta di sapere come funziona WhatsApp. Se lo fai, ti accorgerai che il codice a sei cifre che hai appena ricevuto è stato inviato perché qualcuno sta tentando di accedere al tuo account da un altro dispositivo. Con questo in mente, non sarà difficile sospettare che qualcosa non vada quando qualcuno nella tua lista dei contatti richiede il codice di cui sopra, anche se qualcuno si nasconde dietro il numero di telefono del tuo migliore amico.
Se hai familiarità con il processo di accesso di WhatsApp, saprai anche che l'app offre un'opzione di autenticazione a due fattori che può essere attivata dalla sezione Account nelle impostazioni dell'app. Con l'autenticazione a due fattori, l'accesso su un nuovo dispositivo richiederà non solo il codice a sei cifre di cui abbiamo parlato nei paragrafi precedenti, ma anche un PIN, che crei e ricordi te stesso.
Sebbene il design dell'attacco sia intelligente, il suo successo dipende in ultima analisi dal fatto che tu commetta una serie di semplici errori. Sta a te dimostrare che sei meglio di così.