Check Point Software Technologies ha scoperto una nuova falla di WhatsApp che permetterebbe a un criminale informatico di intercettare e manipolare i messaggi inviati all’interno dei gruppi di discussione o delle chat private. Gli hacker potrebbero sfruttare questa vulnerabilità non solo dirottando la conversazione a loro vantaggio, ma anche creando e diffondendo fake news, assumendo così un potere immenso.
Questa vulnerabilità potrebbe causare tre possibili azioni criminali:
- sostituire la vera risposta di un utente con un’altra puramente inventata.
- citare un messaggio mentre si risponde in un gruppo così da farlo apparire come se provenisse da una persona che non fa nemmeno parte del gruppo.
- inviare un messaggio a un membro di un gruppo, sotto forma di un messaggio di gruppo, ma che di fatto viene inviato solo a un destinatario. Il messaggio di risposta arriverà, invece, all’intero gruppo.
La demo video qui di seguito mostra come questi attacchi potrebbero apparire davvero reali:
https://www.youtube.com/watch?v=rtSFaHPA0C4
Nel primo caso, il malintenzionato manipola il testo di una risposta così da fornire una risposta che potrebbe essere di grande beneficio per lui.
Nel secondo caso, i criminali informatici potrebbero diffondere informazioni errate su un determinato prodotto e causare così gravi danni anche d’immagine a un’azienda.
Nel terzo caso, invece, gli hacker potrebbero trarre in inganno le persone che potrebbero svelare segreti a loro insaputa.
Attualmente, WhatsApp conta più di 1,5 miliardi di utenti, oltre un miliardo di gruppi e 65 miliardi di messaggi inviati ogni giorno. Inoltre, l’app di messaggistica, ora di proprietà di Facebook, prevede di aggiungere funzionalità business per supportare le aziende nella vendita dei loro prodotti e nella gestione del servizio di customer care attraverso l’app. È facilmente intuibile come una falla di questo tipo, se sfruttata, potrebbe causare danni a un’azienda dal valore non quantificabile.
Per la sua caratteristica di essere uno strumento di comunicazione facile e veloce, WhatsApp è già stato al centro di numerosissimi fatti di cronaca. Dai finti premi del supermercato o delle compagnie aeree alle manipolazioni delle elezioni, gli hacker trovano sempre nuovi modi per utilizzare in modo illecito questo mezzo di comunicazione.
Addirittura, le tecniche avanzate di social engineering sono già state utilizzate su larga scala anche quando c’era in gioco le vite delle persone. In Brasile, per esempio, sono state diffuse su WhatsApp indiscrezioni che sottolineavano quanto fosse rischioso un vaccino contro la febbre gialla – la verità era che quello stesso vaccino avrebbe potuto fermare un’epidemia che ha infettato 1.500 persone e ne ha uccise quasi 500, nel 2016.
WhatsApp, inoltre, assume un ruolo sempre più centrale in periodo di elezioni, soprattutto nei paesi in via di sviluppo. All’inizio di quest’anno, in India, WhatsApp è stato utilizzato per inviare messaggi, alcuni dei quali erano completamente falsi.
Tramite le tecniche di social engineering, l’hacker riesce a importunare l’utente inducendolo a compiere azioni di cui poi si pentirà. Grazie alla possibilità di manipolare le risposte, inventare dichiarazioni o inviare messaggi privati sotto forma di messaggi di gruppo, i criminali hanno maggiori possibilità di successo e un’altra arma da utilizzare.
È bene quindi applicare sempre le regole del buon senso, incluso quella di non credere a notizie che appaiono da subito abbastanza insolite e quella di controllare i fatti, verificando che la storia che si legge sui social sia presente anche nel web.
