Una ennesima nuova truffa circola su WhatsApp, può rubare le tue informazioni personali e finanziarie. Dal 2022 Il Governo Svizzero VIETA Whatsapp nella pubblica amministrazione.
Di Benito Mirra Information & Cyber Security Advisor
Su RaidForums, 24 milioni di utenti italiani di WhatsApp in vendita.
Qualche giorno fa su RaidForums (RaidForums è un “database sharing and marketplace forum”) è apparso un post da parte di un utente che riporta la messa in vendita di circa 70 milioni di account Whatsapp americani con aggiornamento a gennaio 2022.
Messa cosi’ la cosa non è di nostro interesse diretto. L’ America è lontana, ma in questo post, oltre ai presunti 70 milioni di utenti americani, mette in vendita altri account whatsapp di altre nazioni, tra i quali anche gli account italiani. Potrebbe trattarsi di vecchie informazioni, come successo nel 2021, ma sul sito telegram del gruppo che mette in vendita questi dati, si sostiene che sono garantiti al 99% e che addirittura sono account aggiornati al 2022 e si tratta proprio di 24 milioni di utenti italiani, molto probabilmente la completa base utenti italiana di Whatsapp.
L’ esempio fornito sembrerebbe autentico e contiene circa 5000 numeri di telefono. L’autenticità è stata verificata effettuando dei controlli incrociati con altri databreach in particolare quello dei 450 milioni di utenti di Facebook.
Tutto questo può consentire tantissime attività illecite verso gli account italiani, come attacchi di phishing, o attacchi di intercettazione o geolocalizzazione, ad esempio attraverso i servizi venduti nelle darknet che utilizzano le falle sui protocolli SS7.
Rediroff.***, l’ennesima nuova truffa su WhatsApp che può rubare le tue informazioni personali e finanziarie come i dettagli bancari e della carta..
I truffatori inviano un link agli utenti di WhatsApp e non appena fanno clic su di esso, si apre un sito Web che dice di compilare un sondaggio e vincere un premio.
Una volta che l’utente ha risposto alle domande, gli verrà chiesto di compilarlo con alcuni dettagli come nome, età, indirizzo, coordinate bancarie e altri dettagli.
Una volta inserito tutti i dettagli i truffatori utilizzano in modo improprio i dati per effettuare transazioni fraudolente o svolgere attività illegali o vendere i dettagli ai criminali sulla darknet, potrebbero anche installare APP indesiderate sul dispositivo dell’utente.
Se ricevi un messaggio su WhatsApp con un link Rediroff.ru, dovresti segnalarlo immediatamente come spam ed eliminarlo perché se fai clic sui collegamenti per errore, il tuo dispositivo potrebbe essere interessato da malware, adware. Se vedi pubblicità sospette durante la navigazione o vieni reindirizzato a un sito Web indesiderato, potresti avere malware sul tuo dispositivo. Quindi è necessario disinstallare le app sospette..
I criminali informatici potrebbero inoltre utilizzare le informazioni per inviare spam ed e-mail dannose. I siti di phishing controllano prima l’indirizzo IP dell’utente per verificarne la posizione, quindi cambiano la lingua della pagina e visualizzano alcuni schemi di truffa.
Si intensificano Gli attacchi di “phishing”
Gli attacchi di “phishing” hanno preso di mira utenti di Facebook, Instagram e WhatsApp.
La società madre Meta ha affermato in un recente comunicato che le sue quattro APP principali sono state prese di mira: Facebook, Messenger, Instagram e WhatsApp.
Uno schema particolare del 2021 prevedeva la creazione di oltre 39.000 siti Web falsi. Gli attacchi di phishing attirano le vittime verso un sito web che sembra essere gestito da un’entità fidata, come una banca, un commerciante o un altro servizio, Il sito Web, tuttavia, è un inganno, un falso, e il contenuto falso del sito è progettato per persuadere una vittima a inserire informazioni sensibili, come una password o un indirizzo e-mail.
Questi siti canaglia hanno impersonato le pagine di accesso anche delle pagine Facebook ufficiali. Gli hacker hanno quindi raccolto le informazioni, che possono quindi essere vendute o utilizzate per frode, stalking, ricatto e altro ancora.
Se ritieni che il tuo account sia stato compromesso, cambia immediatamente la password.
Puoi anche disconnettere sessioni di Facebook sospette nelle tue impostazioni se pensi che qualcun altro stia utilizzando attivamente il tuo account.
Signal, WhatsApp e Telegram: quale app di messaggistica sicura dovresti usare?
Se la tua scelta di APP di messaggistica crittografata è una scelta tra Signal, Telegram e WhatsApp, allora non dovresti scegliere quella che ha caratteristiche più carine, più campane e fischietti o è il più comodo da usare: si tratta esclusivamente di privacy. E se la privacy è ciò che cerchi, niente batte Signal.
Sono tutte APP mobili disponibili nel Google Play Store e nell’App Store che supportano la messaggistica multipiattaforma, dispongono di funzionalità di chat di gruppo, offrono l’autenticazione a più fattori e possono essere utilizzate per condividere file e contenuti multimediali. Tutti forniscono anche la crittografia per SMS, chiamate vocali e video. Signal, Telegram e WhatsApp utilizzano la crittografia end-to-end in alcune parti della loro APP, il che significa che se una parte esterna intercetta i tuoi messaggi, dovrebbero essere codificati e illeggibili. Significa anche che il contenuto esatto dei tuoi messaggi presumibilmente non può essere visualizzato dai dipendenti di tali società quando comunichi con un altro utente privato. Le forze dell’ordine impediscono (dovrebbero) al tuo operatore di telefonia mobile e ad altre entità di ficcanaso di leggere i tuoi messaggi anche quando li intercetta (cosa che accade più spesso di quanto potresti pensare).
Tuttavia, le differenze di privacy e sicurezza tra Signal, Telegram e WhatsApp sono significative. Ecco cosa devi sapere su ciascuno di essi.
SIGNAL
-
Gratuito, senza pubblicità, finanziato dalla “Signal Foundation” senza scopo di lucro
-
Completamente open source
-
Crittografia: protocollo di segnale
Signal è una tipica APP che può essere trovata nei normali mercati come Google Play e App Store di Apple e funziona proprio come una APP di messaggistica di testo. È uno sviluppo open source fornito gratuitamente dalla Signal Foundation senza scopo di lucro.
La funzione principale di Signal è che può inviare, sia a un individuo che a un gruppo, messaggi di testo, video, audio e con immagini completamente crittografati, dopo aver verificato il tuo numero di telefono e averti consentito di verificare in modo indipendente l’identità di altri utenti di Signal. Quando si tratta di privacy, è difficile battere l’offerta di Signal. Non memorizza i tuoi dati utente. E oltre alla sua abilità di crittografia, offre opzioni di privacy su schermo estese, inclusi blocchi specifici per app, popup di notifica vuoti, strumenti antisorveglianza che sfocano il volto e messaggi che scompaiono.
Bug occasionali hanno dimostrato che la tecnologia è tutt’altro che a prova di proiettile, ovviamente, ma l’arco generale della reputazione e dei risultati di Signal lo ha mantenuto in cima alla lista degli strumenti di protezione dell’identità di ogni persona esperta di privacy. Per anni, la principale sfida alla privacy per Signal non è stata la sua tecnologia, ma la sua più ampia adozione. L’invio di un messaggio crittografato di Signal è fantastico, ma se il tuo destinatario non utilizza Signal, la tua privacy potrebbe essere nulla.
TELEGRAM
-
Dati a te collegati: nome, numero di telefono, contatti, ID utente
-
Piattaforma pubblicitaria gratuita e di prossima uscita e funzionalità premium, finanziate principalmente dal fondatore
-
Solo parzialmente open source
-
Crittografia: MTProto
Telegram sta da qualche parte nel mezzo della scala della privacy e si distingue dalle altre app di messaggistica per i suoi sforzi per creare un ambiente in stile social network. Sebbene non raccolga tanti dati come WhatsApp, non offre nemmeno chiamate di gruppo crittografate come WhatsApp, né la privacy dei dati degli utenti e la trasparenza aziendale di Signal. I dati raccolti da Telegram che potrebbero essere collegati a te includono il tuo nome, numero di telefono, elenco contatti e ID utente. Telegram raccoglie anche il tuo indirizzo IP, qualcos’altro che Signal non fa. E a differenza di Signal e WhatsApp, i messaggi uno-a-uno di Telegram non sono crittografati per impostazione predefinita, occorre attivarli nelle impostazioni dell’app. Anche i messaggi di gruppo di Telegram non sono crittografati. Mentre alcuni degli schemi di crittografia MTProto di Telegram sono open source, alcune parti non lo sono, quindi non è del tutto chiaro cosa succede ai tuoi testi una volta che sono nei server di Telegram.
Telegram ha subito diverse violazioni. Nel 2020 sono stati scoperti circa 42 milioni di ID utente e numeri di telefono di Telegram, ritenuti opera di funzionari del governo iraniano. E’ la seconda massiccia violazione legata all’Iran, dopo che 15 milioni di utenti iraniani sono stati scoperti nel 2016. Un bug di Telegram è stato sfruttato dalle autorità cinesi nel 2019 durante le proteste di Hong Kong. Poi ancora il BOT falso girato su Telegram a cui è stato permesso di creare nudi falsi di donne da foto normali di utenti. Più recente, la sua funzione abilitata al GPS che ti consente di trovare altri vicino a te ha creato ovvi problemi per la privacy.
-
Dati collegati a te: troppi da elencare (vedi sotto)
-
Libero; versioni business disponibili gratuitamente, finanziate da Facebook
-
Non open source, fatta eccezione per la crittografia
-
Crittografia: protocollo di segnale
Sia chiaro: c’è una differenza tra sicurezza e privacy. La sicurezza riguarda la protezione dei tuoi dati dall’accesso non autorizzato e la privacy riguarda la salvaguardia della tua identità indipendentemente da chi ha accesso a tali dati.
Sul fronte della sicurezza, la crittografia di WhatsApp è la stessa di Signal e la crittografia è sicura. Ma quel protocollo di crittografia è una delle poche parti open source di WhatsApp, quindi ci viene chiesto di fidarci di WhatsApp più di quanto non lo siamo Signal. Il telefono di Jeff Bezos è stato notoriamente violato nel gennaio del 2020 tramite un videomessaggio WhatsApp. Nel dicembre dello stesso anno, il procuratore generale del Texas ha affermato, anche se non ha dimostrato, che Facebook e Google hanno stretto un accordo dietro le quinte per rivelare il contenuto dei messaggi di WhatsApp. Un fornitore di spyware ha preso di mira una vulnerabilità di WhatsApp con il suo software per hackerare 1.400 dispositivi, provocando una causa da parte di Facebook. La funzione di backup basata su cloud non crittografata di WhatsApp è stata a lungo considerata un rischio per la sicurezza dagli esperti di privacy ed è stato un modo in cui l’FBI ha ottenuto prove sul famigerato fissatore politico Paul Manafort. Per finire, WhatsApp è diventato noto anche come un rifugio per artisti della truffa e fornitori di malware nel corso degli anni (proprio come Telegram ha attirato la propria quota di abusi della piattaforma, descritti sopra).
Ma la crittografia non copre i dati di contorno di queste conversazioni, ossia i cosiddetti metadati: con chi avete parlato, a che ora di quale giorno l’avete fatto, per quanto tempo avete conversato e quante volte avete scambiato messaggi con ciascuna delle persone con le quali avete comunicato tramite WhatsApp. Usare WhatsApp significa quindi dare a Meta, e quindi alle autorità statunitensi, l’elenco completo dei propri amici, contatti di lavoro e commilitoni. Messi insieme, tutti questi metadati hanno un valore strategico enorme.
Nonostante gli hack, non è solo l’aspetto della sicurezza che ci dovrebbe preoccupare di WhatsApp quanto la privacy. Non ci tranquillizza sicuramente che Facebook abbia un altro software da cui può ancora raccogliere più dati comportamentali tramite un’app facile da usare con un’interfaccia carina e piacevole da usare. Quando WhatsApp dice che non può visualizzare il contenuto dei messaggi crittografati che invii a un altro utente WhatsApp, ciò che non dice è che c’è una lista di altri dati che raccoglie che potrebbero essere collegati alla tua identità: il tuo dispositivo unico ID, dati sull’utilizzo e sulla pubblicità, cronologia degli acquisti e informazioni finanziarie, posizione fisica, numero di telefono, le tue informazioni di contatto e quelle del tuo elenco di contatti, con quali prodotti hai interagito, con quale frequenza utilizzi l’app e come si comporta quando fate. L’elenco continua…..
Il Governo Svizzero VIETA Whatsapp nella pubblica amministrazione.
Il portavoce dell’esercito Stefan Hofer Centro Nazionale Svizzero per la Cibersicurezza NCSC ha confermato all’agenzia stampa Keystone-ATS la nuova direttiva TIC-E027. Dall’inizio dell’anno, il solo servizio di messaggistica permesso per le comunicazioni di servizio in seno alla pubblica amministrazione svizzera è il sistema di messaggistica Threema.
“in seno all’Amministrazione federale viene utilizzata l’applicazione «Threema» per le comunicazioni vocali crittografate. La direttiva TIC «E027 – Direttiva concernente le comunicazioni vocali crittografate» disciplina come e quando deve essere utilizzato «Threema» per le comunicazioni vocali crittografate sui dispositivi intelligenti che sono integrati nel sistema Mobile Device Management (MDM) della Confederazione. La direttiva TIC contiene, in particolare, disposizioni relative alla gestione di informazioni sensibili classificate fino al livello CONFIDENZIALE”
Threema garantisce più sicurezza per quel che riguarda la protezione dei dati, può essere utilizzato in forma anonima e rispetta sia le norme europee sulla protezione dei dati che quelle svizzere.
Come mai questa decisione?:le app di messaggistica gratuite come appunto WhatsApp, Signal e Telegram, non rispettano le norme svizzere sulla protezione dei dati. WhatsApp, in particolare, è soggetta alle leggi statunitensi e in particolare al cosiddetto CLOUD Act (acronimo di Clarifying Lawful Overseas Use of Data Act), una legge del 2018 che consente alle autorità americane di acquisire informazioni sul traffico di dati da tutti i gestori di servizi di telecomunicazioni sottoposti alla giurisdizione degli Stati Uniti anche se i dati si trovano fuori dal territorio americano, e anche se sono gestiti da società europee che hanno una filiale negli Stati Uniti. Detto in altre parole, gli Stati Uniti possono ottenere, aggregare e analizzare tutti i dati trasmessi su WhatsApp da qualunque militare svizzero o di qualunque altro paese. Il rischio non è ipotetico: è già successo che messaggi o post di militari russi abbiano rivelato la loro presenza in Siria ed in Ucraina, a volte smentendo le dichiarazioni ufficiali. La Russia ha vietato completamente l’uso degli smartphone durante il servizio militare già nel 2019. Tutto questo spiega perché Threema, invece, non è considerata a rischio: si tratta di un’APP creata da una società che ha sede in Svizzera, a Pfàffikon, nel canton Svitto, e che custodisce i dati in modo conforme alle leggi nazionali e lo fa su server situati solo ed esclusivamente in Svizzera. Quindi non è soggetta al CLOUD Act statunitense. Allo stesso tempo offre, come le APP rivali, le stesse protezioni di crittografia end-to-end ed è open source, quindi liberamente ispezionabile. E a differenza delle altre app, non richiede di dare al gestore un numero di telefono o altre informazioni personali e non si mantiene offrendo queste informazioni ai pubblicitari. Threema è infatti un’app a pagamento: costa quattro franchi, che si pagano una volta sola. L’esercito svizzero pagherà questo abbonamento agli utenti militari.
