Questa volta i pirati informatici hanno colpito Whatsapp, una delle piattaforme più in uso, con un miliardo e mezzo di utenti nel mondo, sfruttando la sua vulnerabilità. Su alcuni cellulari è stato infatti installato un software di sorveglianza in grado di “spiare” i dispositivi, usando una tecnologia simile a quella impiegata da società all’avanguardia nei sistemi di spionaggio, come l’israeliana NSO Group, specializzata in informatica e considerata tra l’altro dal Financial Times tra i sospettati dell’attacco hacker. A stupire è soprattutto il fatto che questa volta non si tratta di attacchi informatici contro siti o entità governative, ma che hanno avuto come destinatari migliaia di smartphone nel mondo.
Impossibile quantificare al momento le “vittime” raggiunte tramite una telefonata anonima, anche senza risposta da parte del destinatario. Il social di messaggistica ha parlato di un “numero ristretto di utenti”, scelti “in modo specifico”, esortando ad “aggiornare l’applicazione e a prendere le dovute precauzioni”.
Ma cosa significa? Come ci si protegge da eventuali attacchi hacker? Come si tutela la propria sicurezza e privacy?
Smartphone “spiati”: ecco come
Impossibile al momento capire da quanto tempo proseguissero le attività di spionaggio, prima dell’avviso emesso da Whatsapp il 13 maggio. È possibile che l’attività degli hacker proseguisse da mesi se non da anni. La vulnerabilità del social, che ha permesso di “infettare” numerosi smartphone, ha riguardato sia apparecchi iPhone che Android tramite spyware, sorta di virus che sono in grado di “catturare” tutte le informazioni degli strumenti sui quali sono installati: sia dati multimediali che documenti in archivio (comprese note o promemoria), senza tralasciare i contatti e i messaggi ricevuti e inviati.
Attenzione a chiamate anonime e messaggi vocali
WhatsApp ha recentemente avvisato che una propria vulnerabilità può aprire la strada a Pegasus, un programma spia particolarmente invadente che sarebbe in grado di installarsi con una semplice chiamata anche se il destinatario non risponde. Il rimedio è facile perché si tratta di provvedere all’aggiornamento del software, operazione che molto probabilmente lo smartphone ha già eseguito autonomamente. Per mettersi comunque al sicuro esistono due percorsi.
1) Se si ha uno smartphone con sistema operativo iOS (semplicemente un iPhone)
– toccare l’icona App Store;
– selezionare “Aggiornamenti” presente nella barra inferiore;
– toccare il tasto “aggiorna” vicino all’icona di WhatsApp e avviare l’operazione che dovrebbe determinare l’installazione della versione 2.19.51 del programma di messaggistica;
2) Se si dispone di un cellulare “Android” (ovvero diverso dall’iPhone)
– aprire Google Play Store;
– selezionare il menu con le tre barrette;
– scegliere “le mie app”;
– cercare l’icona “WhatsApp” e agire su questa nel caso sia evidente che è disponibile un aggiornamento rispetto la versione in quel momento presente sullo smartphone (la più recente è la 2.19.134).
Come rendere sicuri gli smartphone: il pin di sblocco
Quali accorgimenti adottare? Può servire dotarsi sempre di un codice di sblocco? “Le cautele da adottare con il proprio smartphone sono elementari” spiega Umberto Rapetto, ex Generale della Guardia di Finanza, già comandante del GAT Nucleo Speciale Frodi Telematiche, oggi vice Presidente dell’Autorità Garante per la protezione dei dati personali della Repubblica di San Marino. “In primo luogo può essere utile proteggere il dispositivo con un PIN o codice di accesso, così da scongiurare – in caso di furto o di smarrimento – che qualcuno lo possa utilizzare indebitamente. È anche bene caricare sul telefonino qualche software di protezione perché gli antivirus fanno un buon lavoro anche su quegli apparati e preservano da brutte sorprese. Ne esistono di gratuiti e sono di facile installazione”.
Attenzione alle “App-spia”
Negli anni, dunque, ignari utenti hanno continuato ad essere controllati senza saperlo. Ma come è inziiata l’azione di spionaggio? Secondo quanto scoperto, è stato sufficiente rispondere a chiamate, anche anonime. Un altro sistema sembra siano stati i messaggi vocali, ormai così diffusi: “Purtroppo siamo abituati a scaricare App di ogni genere e la nostra golosità spesso prende il posto del buon senso. Sovente si installano applicazioni che chiedono di poter agire indisturbate sul nostro smartphone e la voglia di servirsene porta l’utilizzatore a dare il consenso all’esecuzione di operazioni che violano la nostra riservatezza. Molte App – anche se non è necessario per il loro funzionamento – chiedono di accedere (ed acquisire) ai dati dei nostri contatti, alle foto e ai video che abbiamo memorizzato o ricevuto, al microfono e persino alla videocamera”
È ovvio che concedere certe autorizzazioni a cuor leggero espone a rischi facilmente immaginabili. “A questo si aggiungono i “cavalli di Troia”, applicazioni apparentemente utili e innocue e che invece – una volta a bordo – procedono con vere e proprie azioni di spionaggio segnalando al malintenzionato di turno la nostra posizione, nomi e numeri di amici e conoscenti, la cronologia delle chiamate e così via” continua Rapetto.
Come bloccare le email indesiderate (e il phishing)
Al di là del clamore della notizia su Whatsapp, esiste il pericolo che anche le email possano nascondere “pericoli”: “Chi tenta di mietere vittime con messaggi fraudolenti adopera l’accortezza di utilizzare ogni volta indirizzi email differenti e quindi è difficile utilizzare filtri e blocchi reimpostati. La precauzione non è tecnica ma umana: si tratta di evitare di cliccare su indirizzi suggeriti da utenti non conosciuti o che si qualificano come la propria banca o un ente statale ma che formulano richieste inconsuete, come richiedere dati di cui sono storicamente già in possesso. È opportuno diffidare di comunicazioni cui sono allegate immaginarie fatture o fantasiosi avvisi di pagamento. Aprire quei file espone al rischio di seri danni al proprio computer, tablet o smartphone” spiega Rapetto.
Le password: quando cambiarle?
Whatsapp, nel comunicare la falla e il ripristino della sicurezza sulla piattaforma, ha esortato a vigilare sui proprio apparecchi, scaricando anche aggiornamenti della App. Occorre anche cambiare le password e ogni quanto? Non si rischia di perdere le impostazioni di privacy? “Non c’è alcun pericolo: gli aggiornamenti del software sono necessari per adeguare i dispositivi elettronici al più recente livello di protezione e non comportano variazioni in ordine alle impostazioni (privacy inclusa) che erano state preordinate in precedenza” spiega l’ex Comandante del Gruppo Anticrimine Tecnologico delle Fiamme Gialle. In realtà, se fino a qualche tempo fa veniva consigliato di cambiar ele password di accesso ai dispositivi elettronici (pc, smartphone, talbet, ecc) ogni sei mesi, una ricerca ha dimostrato l’inutilità di questa operazione. Gli studiosi della Carnegie Mellon University, guidati dalla specialista in sicurezza informatica Lorrie Cranor, hanno osservato come la modifica delle credenziali di accesso spesso avvenga in modo superificale da parte degli utenti, come una sorta di “ritocco” di quelle vecchie, magari cambiando solo una cifra finale. Questo rende inultile l’aggiornamento stesso per i cosiddetti “cracker”, che si occupano proprio di “violare” gli accessi.
Il consiglio degli esperti è quello di intervenire modificando radicalmente la password (altrimenti meglio lasciare quelle in uso) e soprattutto di sceglierla con cura: è consigliabile che abbia almeno 8/10 caratteri misti (maiuscoli e minuscoli), ma anche di più; dovrebbe contenere anche alcune cifre e soprattutto non deve essere la stessa per tutti i dispositivi o servizi (mail, homebanking, computer, ecc). Un altro accorgimento è quello di evitare accuratamente parole di senso compiuto (“ad esempio, “casa”, o “lavoro”) perché spesso gli hacker usano la cosiddetta “tecnica del dizionario”, ossia provano tutte le parole che si trovano sul dizionario, fino a trovare quella giusta. Pi che sulla frequenza con la quale viene cambiata, dunque, vale la pena concentrarsi sulla selezione di una password sicura. Quanto al pin vale lo stesso discorso, anche se è soltanto numerico. Molti dispositivi oggi permettono anche l’uso dell’impronta al posto del codice numerico, mentre in futuro si potrà cntare anche sulla biometria, con il riconoscimento dell’utente tramite la scansione dell’iride o l’analisi vocale.