Un semplice errore può farci perdere l’account WhatsApp. Questo è ciò che è successo al capo di Ciudadanos, Albert Rivera, che ha subito un attacco al suo telefono a causa di una trappola per messaggi che gli ha fatto perdere l’accesso al suo account WhatsApp, come confermato da un portavoce del partito arancione a El Mundo.

Come è possibile “hackerare” WhatsApp di una posizione politica elevata? L’Unità Reati Telematici (UCO) della Guardia Civile sarà incaricata di esaminare tutti i dettagli, ma l’attacco è avvenuto attraverso il phishinguna tecnica fraudolenta con cui ingannare la persona e accedere al suo account.

Come un portavoce ufficiale di Citizen descrive a El País, il politico di Barcellona ha fornito involontariamente le chiavi del suo WhatsApp. Attraverso un messaggio inviato dagli aggressori, ha verificato il suo account pensando che fosse WhatsApp stessa a richiederlo.

Come funziona il phishing su WhatsApp

L’attacco di Rivera su WhatsApp soddisfa tutte le caratteristiche del classico attacco di phishing. L’obiettivo di questa tecnica è semplice: impersonare l’azienda originale in modo che l’utente fornisca le proprie password. Come ci sono riusciti con Rivera? Il politico ha ricevuto sul suo account un messaggio che avverte che “qualcuno ha provato ad accedere al tuo profilo WhatsApp da un altro dispositivo“.

In altre occasioni le Forze dell’ordine hanno denunciato tecniche di phishing via SMS, accompagnate da un breve testo e un link che ci invita a cliccare. Un testo di phishing che può arrivare anche direttamente tramite WhatsApp, poiché l’applicazione di messaggistica è collegata al numero di telefono. Nel caso di Albert Rivera, non è chiaro se il messaggio sia stato ricevuto tramite email, SMS o tramite WhatsApp stessa.

Come descrive El Mundo, il processo per ingannare Rivera sarebbe stato il seguente: in primo luogo, gli aggressori hanno fatto inviare a WhatsApp un messaggio per verificare che fosse lui. Hanno quindi inviato un altro messaggio di avviso che era stato attaccato, con informazioni sul luogo e l’ora del presunto attacco sventato. In questo messaggio-trappola è dove ti è stato chiesto di inserire il codice di sicurezza che avevi ricevuto in precedenza per verificare la tua identità.

Albert Rivera avrebbe cliccato sul messaggio e inserito il codice di verifica, rendendo più facile per gli aggressori prendere il controllo completo del proprio account WhatsApp. Un controllo di cui hanno approfittato cambia password e blocca l’accesso al tuo account. Lasciando Rivera senza accedervi, come spiegano da El Mundo.

Con il conto in possesso degli attaccanti e convalidato, hanno il capacità di inviare messaggi per conto di Albert Rivera, scopri i contatti e cattura i nuovi messaggi ricevuti, che raggiungeranno il cellulare degli aggressori. Questo non è il caso dell’acquisizione dei messaggi precedenti, poiché i messaggi vengono archiviati sul dispositivo, quindi se qualcuno accede al tuo account su un altro dispositivo non sarà in grado di leggere le tue conversazioni passatecome specificato da WhatsApp nelle sue FAQ sugli account rubati.

Primo passo per evitarlo: non cliccare su quei messaggi

La sicurezza informatica è una questione chiave in questi giorni in cui ci sono così tante informazioni sensibili all’interno dei nostri cellulari e delle loro applicazioni. Una delle regole di base per proteggerlo è non condividere mai codici o password tramite i messaggi che riceviamo. Esistono attacchi di phishing più elaborati di altri, ma una delle linee guida da seguire è ignorare nessuno di questi messaggi, poiché aziende come WhatsApp non usano mai questo modo per confermare la nostra identità.

Come spiega la stessa WhatsApp dalla sua pagina ufficiale:

“Non condividere mai il tuo codice di verifica WhatsApp con nessuno, nemmeno con la famiglia o gli amici. Se per qualsiasi motivo hai condiviso il tuo codice e perdi l’accesso al tuo account WhatsApp. Se sospetti che qualcun altro stia utilizzando il tuo account WhatsApp, devi informare la tua famiglia e i tuoi amici che questa persona potrebbe impersonarti nelle chat individuali e di gruppo. “

Inoltre, se sospetti che qualcuno abbia effettuato l’accesso al tuo account, consiglia anche di disconnettersi da WhatsApp Web/Desktop su tutti i computer dal tuo telefono.

Verifica in due passaggi: un bonus per evitare alcuni di questi attacchi

L’account WhatsApp è associato al numero di telefono tramite SMS (quindi l’attaccante deve conoscere il tuo numero), ma dal 2017 è presente una funzione di verifica in due passaggi per aggiungere un ulteriore livello di sicurezza. Si tratta di una codice PIN a sei cifre che possiamo aggiungere dal menu Impostazioni.

Con la verifica in due passaggi ce ne assicuriamo nessuno può registrare il numero di telefono in un altro account, anche se è riuscita a utilizzare i metodi per ricevere il codice di verifica. Per attivarlo dobbiamo andare su Impostazioni> Account> Verifica in due passaggi.

Inoltre possiamo aggiungere un indirizzo email, che dovremo anche scrivere due volte per confermarlo. Un account che ci sarà utile nel caso in cui dimentichiamo il codice PIN.

Con l’uso della verifica in due passaggi, ciò che facciamo è aggiungere complessità e ulteriori informazioni necessarie per accedere all’account WhatsApp. È uno strumento alquanto invadente e fastidioso, ma è una pratica consigliata, soprattutto in casi come Albert Rivera il cui account WhatsApp è suscettibile di essere attaccato per essere un personaggio pubblico.

Le chiavi USB di sicurezza sono l’opzione migliore

Tuttavia, anche la verifica in due passaggi è stata vulnerabile agli attacchi. Una password di sei cifre può essere facilmente decifrata, soprattutto se la sequenza viene ripetuta o vengono utilizzati dati personali per crearla. È per questo gli esperti raccomandano l’uso di token fisici per evitare il phishing.

Uno studio di Amnesty International ha osservato che la verifica in due passaggi non era sufficiente, poiché le pagine Web false possono indurre l’utente a inserire sia la password, sia il codice SMS e il numero di telefono. Per evitare ciò, ci sono chiavi di sicurezza USB o token come Yubikey o quelli della stessa Google, a sistema molto più efficace contro gli attacchi di phishing e che avrebbe impedito ad Albert Rivera di perdere il controllo del suo account WhatsApp.