I servizi segreti olandesi AIVD e MIVD avvertono che hackers sostenuti dallo Stato russo hackers conducendo una campagna su larga scala per violare gli account Signal e WhatsApp di obiettivi di alto valore.
Si dice che gli obiettivi siano alti funzionari, personale militare, funzionari pubblici e giornalisti. Gli aggressori non violano la crittografia end-to-end né sfruttano una vulnerabilità delle app stesse. Si affidano invece a metodi collaudati di phishing e ingegneria sociale per indurre gli utenti a fornire codici di verifica e PIN o ad aggiungere un "dispositivo collegato" dannoso al proprio account.
L'anno scorso abbiamo parlato di GhostPairing, un metodo che induce il bersaglio a completare la procedura di associazione dei dispositivi di WhatsApp, aggiungendo silenziosamente il browser dell'autore dell'attacco come dispositivo collegato invisibile all'account.
Nei casi segnalati dai servizi segreti olandesi, gli aggressori hanno contattato le vittime su Signal o WhatsApp fingendo di essere "Signal Security Support Chatbot", "Signal Support" o un account simile dal nome ufficiale.
Il messaggio avverte in genere di attività sospette o di una possibile fuga di dati rilevata e invita l'utente a completare una procedura di verifica per evitare la perdita di dati o il blocco dell'account.
Alle vittime viene quindi chiesto di inviare il codice di verifica SMS appena ricevuto e/o il proprio PIN Signal.
Se la vittima acconsente, l'aggressore può registrare l'account su un dispositivo sotto il proprio controllo e assumerne il controllo effettivo, ricevendo nuovi messaggi e inviandone altri come se fosse la vittima.
In una seconda variante, gli aggressori abusano della funzione "dispositivi collegati" (Signal e WhatsApp desktop o altra funzione secondaria del dispositivo). Le vittime vengono indotte a cliccare su un link o a scansionare un codice QR che collega silenziosamente il dispositivo dell'aggressore all'account della vittima. La vittima mantiene l'accesso come di consueto, ma l'aggressore può ora leggere in tempo reale senza segni evidenti di compromissione.
Questi attacchi non sono una novità, ma meritano un nuovo avvertimento perché si basano interamente sul comportamento umano e comprenderne il funzionamento rende più facile fermarli. I metodi utilizzati non sono tecnicamente sofisticati e possono essere facilmente copiati da attori non statali o da comuni criminali informatici.
A causa delle attuali campagne russe, l'AIVD e il MIVD affermano che le app di chat come Signal e WhatsApp non sono adatte alla condivisione di informazioni governative classificate, riservate o comunque sensibili, anche se tecnicamente supportano la crittografia end-to-end.
Come mantenere riservate le tue conversazioni
Un avvertimento specifico per gli utenti presi di mira è quello di utilizzare app designate per le informazioni sensibili. Nonostante molti di loro avessero a disposizione sistemi sicuri dedicati, alcuni hanno fatto ricorso ad app che già conoscevano, come Signal e WhatsApp. E, ad essere onesti, queste app sono sicure se si seguono alcune regole di base:
Come prevenire e individuare gli account compromessi
- Non condividere mai codici di verifica o numeri PIN. Il codice di verifica SMS e il PIN sono necessari solo quando installi o registri nuovamente l'app su un dispositivo. Non vengono mai richiesti legittimamente in una chat. Qualsiasi messaggio in-app, messaggio diretto (DM), e-mail o SMS che ti chiede di inviare questi codici è un tentativo di phishing.
- Non fidarti degli account di "assistenza" nella chat. Signal dichiara esplicitamente che l'assistenza non ti contatterà mai tramite messaggi in-app, SMS o social media per chiederti il codice di verifica o il PIN. Considera qualsiasi "Signal Support Bot", "Security Chatbot" o simili come dannosi, bloccali e segnalali, quindi elimina la conversazione.
- Presta attenzione ai link e ai codici QR nelle chat. Scansiona i codici QR o clicca sui link di collegamento dei dispositivi solo quando ti trovi nel menu di collegamento dei dispositivi dell'app e hai avviato tu stesso il processo. Se un messaggio ti spinge a "verificare il tuo dispositivo" o a "proteggere i tuoi dati" tramite un link o un codice QR, considera che fa parte di questa campagna.
- Controlla regolarmente i dispositivi collegati e le appartenenze ai gruppi. Su Signal e WhatsApp, controlla l'elenco dei dispositivi collegati e rimuovi quelli che non riconosci. Fai anche attenzione a partecipanti strani ai gruppi o contatti duplicati (ad esempio "account cancellato" o un contatto che appare due volte), che i servizi di intelligence olandesi indicano come possibili segni di compromissione dell'account.
- Utilizza le funzionalità di protezione integrate. Abilita opzioni quali blocco della registrazione, PIN di registrazione e avvisi di modifica del dispositivo, in modo che il tuo account non possa essere registrato nuovamente in modo silenzioso senza un segreto aggiuntivo. Memorizza il tuo PIN in un gestore di password invece di scegliere qualcosa di facile da indovinare o riutilizzare un codice comune, per ridurre la possibilità di social engineering o shoulder surfing.
Utilizza i messaggi che scompaiono
Sia Signal che WhatsApp supportano i messaggi che scompaiono, e il loro utilizzo può limitare in modo significativo l'impatto della compromissione dell'account o dell'accesso al dispositivo (anche se non lo impediscono completamente).
I messaggi a tempo e quelli che scompaiono riducono la quantità di contenuti disponibili se un hacker entra in una chat in un secondo momento o se qualcuno ottiene l'accesso a lungo termine a un dispositivo o a un backup. Non sono una soluzione completa, ma possono limitare i danni.
Signal ti consente di impostare un timer per ogni chat in modo che tutti i nuovi messaggi di quella conversazione vengano automaticamente eliminati da tutti i dispositivi dopo il periodo scelto. Puoi attivarlo per le chat individuali o di gruppo e scegliere tra varie durate (da secondi a settimane); entrambe le parti possono vedere che è attivato e modificare il timer.
WhatsApp supporta anche i messaggi che scompaiono con timer per ogni chat (e un'opzione predefinita per le nuove chat). I messaggi possono essere eliminati automaticamente dopo periodi di tempo come 24 ore, 7 giorni o 90 giorni, e le versioni più recenti includono opzioni più brevi come 1 o 12 ore.
Attivalo nelle informazioni della chat sotto "Messaggi che scompaiono", quindi seleziona il timer desiderato; solo i messaggi inviati dopo l'attivazione saranno interessati.
Per i media o i messaggi vocali particolarmente sensibili, WhatsApp offre anche foto, messaggi vocali e video"visualizzabili una sola volta"che possono essere aperti una sola volta prima di scomparire dalla chat.
Abilita l'autenticazione a più fattori
Abbiamo scritto una guida completa su come impostare la verifica in due passaggi su WhatsApp.
Per impostare l'autenticazione a due fattori (2FA) su Signal, abilita la funzione Blocco registrazione, che richiede il PIN impostato per accedere da un nuovo dispositivo. Apri Signal, vai suImpostazioni > Privacy Blocco registrazionee attivala. In questo modo, anche se qualcuno rubasse la tua SIM, non potrebbe accedere al tuo account senza il tuo PIN personale.
Non ci limitiamo a segnalare la privacy, ma vi offriamo la possibilità di utilizzarla.
I rischi per Privacy non dovrebbero mai andare oltre un titolo di giornale. Mantenete la vostra privacy online utilizzando Malwarebytes Privacy VPN.
