I servizi segreti della Germania hanno analizzato le vulnerabilità cyber delle principali piattaforme di messaggistica.

Le app di messaggistica Signal e WhatsApp, secondo un rapporto dei servizi segreti della Germania, sono particolarmente vulnerabili agli attacchi cyber.

Il Bundesamt für Verfassungsschutz (BfV) e il Bundesamt für Sicherheit in der Informationstechnik (BSI) hanno infatti analizzato alcuni attacchi phishing contro le piattaforme. Nel mirino si trovano obiettivi di alto profilo. “Esponenti politici, membri delle Forze Armate e del corpo diplomatico, nonché giornalisti investigativi in Germania e in altri Paesi europei“.

La scelta di questi obiettivi ha suggerito un chiaro intento di spionaggio e raccolta di informazioni sensibili.

Nessun malware

Un elemento distintivo di questa campagna è l’assenza di malware o di sfruttamento diretto di vulnerabilità tecniche delle applicazioni di messaggistica. Gli aggressori, si legge nel rapporto, “non attaccano i sistemi dall’esterno, ma sfruttano funzionalità di sicurezza perfettamente legittime offerte dalle stesse piattaforme“.

La strategia combina tali funzioni con tecniche di ingegneria sociale, inducendo gli utenti a compiere azioni che consentono l’accesso ai propri profili. L’obiettivo è “ottenere in modo discreto l’accesso alle chat individuali e di gruppo, nonché alle liste dei contatti delle persone colpite“.

Attualmente l’attenzione degli hacker criminali sembrerebbe concentrarsi in particolare su Signal, ma anche su WhatsApp, avendo le due applicazioni principi di funzionamento simili.

Spesso, hanno sottolineato i servizi tedeschi, “è sufficiente manipolare l’utente, sfruttando fiducia, urgenza e pressione psicologica“. Da qui, l’invito delle autorità di Berlino che sottolineano, “l’importanza della prudenza nella gestione di codici di verifica, PIN di sicurezza e richieste inattese provenienti da presunti servizi di supporto“.

Quali sono le principali modalità di attacco?

Due, in particolare, le modalità operative di attacco. In primo luogo il “falso supporto e furto del PIN“. I cyber criminali si fingono il gruppo di assistenza ufficiale del servizio di messaggistica, sfruttando il nome di Signal per apparire credibili.

Il primo contatto avviene direttamente tramite un messaggio in chat. La conversazione si apre solitamente con una presunta segnalazione di sicurezza, ribadendo la sua urgenza.

Secondo quanto affermano i truffatori, l’unico modo per evitare il danno sarebbe comunicare il PIN di sicurezza dell’account oppure un codice di verifica ricevuto via SMS. In realtà, proprio queste informazioni consentono agli aggressori di registrare l’account della vittima su un dispositivo sotto il loro controllo.

Una volta in possesso del PIN o del codice di verifica, i criminali possono:

assumere il pieno controllo dell’account e trasferirlo su un numero di telefono da loro controllato.

Accedere in modo continuativo alla lista dei contatti e ai nuovi messaggi, sia nelle chat private sia in quelle di gruppo.

Inviare messaggi a nome della vittima, sfruttandone l’identità.

Non avere però accesso retroattivo ai messaggi precedenti all’attacco.

Il metodo del QR-Code

Nel secondo metodo, si legge nella nota, gli hacker criminali sfruttano “una funzione del tutto legittima, quale la possibilità di collegare un dispositivo aggiuntivo a un account di messaggistica“.

Il processo di autorizzazione è semplice e pensato per essere sicuro. Il dispositivo principale deve scansionare e confermare un codice QR visualizzato sul dispositivo da collegare. Solo dopo questa verifica il nuovo dispositivo ottiene accesso all’account.

Sfruttando questa procedura, gli aggressori contattano la vittima con un pretesto credibile e la convincono a scansionare un codice QR. Nel momento in cui il codice connette realmente un nuovo dispositivo all’account della vittima, i cyber criminali prendono il controllo del profilo dell’utente.

In questo modo, i criminali ottengono accesso alle conversazioni e ai contenuti dell’account senza dover violare direttamente password o sistemi di sicurezza. “Si tratta di una tecnica subdola che non sfrutta una falla tecnica, ma l’ingegneria sociale e la fiducia dell’utente“.

