App Immuni, i rischi cyber e l’importanza di una corretta sensibilizzazione degli utenti

L’app di tracciamento Covid-19, Immuni, è online: ci sarà ora una fase di avvio di test rendendo disponibile l’applicazione solo in alcune regioni per poi man mano essere messa a disposizione di tutti i cittadini italiani. Una fase dunque molto delicata, perché consentirà di capire quali sono i rischi cyber a cui è realmente esposta e perché potrebbe essere l’occasione giusta per avviare un efficace piano di sensibilizzazione degli utenti sul suo corretto utilizzo.

Quali sono i reali target?

Un momento importante, un banco di prova che tutti stavano aspettando. Il team di sviluppo di Immuni, Bending Spoons, avrà tutti gli occhi puntati su di sé e avrà anche adottato non solo le tradizionali misure di sicurezza preventiva attraverso l’analisi del codice e le attività di Mobile Penetration test, ma anche soluzioni di sicurezza proattiva e predittiva al fine di contrastare da un lato azioni malevole, ma dall’altro anche anticiparle attraverso azioni di Cyber Threat Intelligence.

Un lancio discusso e dibattuto soprattutto per gli aspetti legati alle tematiche di cyber security e di privacy. C’è da aspettarsi che i ricercatori cyber italiani e non inizieranno ad analizzare tutta l’applicazione per identificare le possibili falle e criticità e segnalarle attraverso le tradizionali procedure di Responsible Vulnerability Disclosure, tenuto conto delle informazioni disponibili e dei relativi impatti per gli utenti che liberamente sceglieranno o hanno scelto di registrarsi.

Ma i criminal hacker sono purtroppo già in azione. Mentre tutti si stanno concentrando sul target principale superprotetto e tutelato – almeno questa è l’aspettativa di tutti noi – ci sono due target forse più semplici da approcciare e che possono garantire lo stesso risultato. Mentre i ricercatori si concentreranno sull’app Immuni, quasi sicuramente i target veramente oggetto di cyber attack saranno la stessa azienda di sviluppo Bending Spoons e gli stessi utenti.

La prima sarà sicuramente attenzionata con attività di cyber attack più tecniche, ma per entrambi i target la metodologia maggiormente utilizzata sarà proprio quella di social engineering (attività digitali e non che hanno l’obiettivo di ingannare la potenziale vittima al fine ad indurla ad effettuare azioni o per rubare informazioni).

Bending Spoons sotto la lente di ingrandimento

In Bending Spoons avranno sicuramente dovuto fronteggiare diversi cyber attack. Si saranno scontrati con diversi tentativi di accesso ai vari sottodomini esposti, con i criminal hacker che cercano di carpire dalla naming convention degli url stessi quali e se fanno riferimento proprio all’app Immuni e allo stesso tempo identificare le possibili aree di staging o DB esposti con il rischio di trovare in realtà servizi relativi a terze parti loro clienti.

Un lavoro immane e notevole di contrasto che Bending Spoons ha gestito in maniera brillante e che continuerà sicuramente a fare, tenuto conto del tasso tecnico e tecnologico dell’azienda e del suo team.

Accanto a questi tentativi un po’ più tecnici, ovviamente sono stati e saranno oggetto di varie tecniche di social engineering. È incredibile il numero di informazioni, e-mail aziendali, personali e cellulari che potenzialmente potrebbero essere identificati tramite i canali social o anche tramite le diverse applicazioni di marketing e di biglietti da visita disponibili online.

I rischi di social engineering per gli utenti

L’altro target che sarà oggetto di attenzione da parte dei criminal hacker siamo noi: gli utenti. Prepariamoci, dovremo e saremo costretti a “non abbassare la guardia”. Saremo bersagliati da diverse tecniche di social engineering e il cybercrime cercherà in tutti i modi di carpire le nostre informazioni o di infettare con malware i nostri dispositivi, computer o smartphone.

Le tecniche maggiormente utilizzate saranno sicuramente: phishing e smishing, false mobile app, spoofing, malware advertising.

Rischi cyber: phishing e smishing

Il phishing era e continua ad essere il principale mezzo per la diffusione di malware e, in generale, per lanciare cyber attacchi. La cara e vecchia e-mail contenente allegati, link o sign-up form studiati per rubarci le credenziali è ancora attualissima. Costa poco, richiede pochissimo sforzo tecnico e garantisce un volume di attacchi difficilmente eguagliabile.

La sua forza è letteralmente la nostra debolezza, che sia culturale o semplicemente frutto di paure: dall’offrire cure contro la Covid-19 fino ad impersonare l’Agenzia delle Entrate, i criminal hacker dietro il phishing non hanno certo dimostrato mancanza d’ingegno, l’arrivo di Immuni potrebbe essere l’ennesima leva valida.

Naturale evoluzione di questa tecnica è lo smishing. Nome che deriva dal mezzo attraverso cui sono inviate le comunicazioni malevoli alla vittima: l’SMS appunto (o qualsiasi altro mezzo di comunicazione istantanea come WhatsApp o Facebook Messenger).

Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire la Call To Action richiesta dai cyber criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login.

False mobile app

Leggermente più avanzata come metodologia, la diffusione di fake app, ovvero app civetta che imitano Immuni per acquisire i dati degli utenti, sono sicuramente un altro cyber risk da tenere in considerazione.

Queste colpiscono in particolare i dispositivi Android, visto che Google Play Store è fin troppo spesso ricettacolo di questi fake. Un’emergenza nota alla stessa Google, che ha provato a metterci una pezza con il Play Protect, una sorta di scanner antivirus che analizza le app prima che queste vengano installate sullo smartphone. Ma questo non ha fermato i criminal hacker che riescono ancora a bypassare il sistema.

Lo spoofing

Lo spoofing, traducibile con “manipolazione” o “occultamento”, è una tecnica usata dal cyber crime per mascherare e imitare l’identità di utenti o di dispositivi. Di fatto è un tipo di falsificazione tecnologica utilizzata per far credere alla vittima che l’identità del mittente del contatto o del contenuto ricevuto siano assolutamente attendibili.

Come per le altre metodologie di attacco il bersaglio sono sempre i dati sensibili. La versatilità dello spoofing lo rende anche molto adattabile a vari mezzi e strumenti di attacco: mail, DNS, sms e web.

 

Fonte: Cybersecurity360