Articoli

Green Pass: i rischi per la nostra identità digitale

Pubblicare e condividere il Green Pass online espone noi e la nostra identità digitale ad inutili rischi, non solo a livello personale, ma anche in ambito business. Rischi che è bene comprendere per riuscire a mitigarli al meglio.

Cos’è e come funziona il Green Pass

Sono milioni gli italiani che hanno già ottenuto il Green Pass o che, in questi giorni, stanno ricevendo una notifica sull’app IO e Immuni o direttamente via SMS che li avvisa di poterlo scaricare grazie alla propria tessera sanitaria e ad un codice identificativo. Il Green Pass, lo ricordiamo, è una certificazione per la vaccinazione Covid-19 in formato digitale emessa dal Ministero della Salute e contiene un QR Code per verificarne autenticità e validità. Tutti coloro che hanno effettuato almeno una dose di vaccino possono salvarla sul proprio dispositivo e utilizzarla all’occorrenza. Dal 1° luglio il Green pass è valido come EU digital COVID certificate e sarà richiesto per partecipare a eventi pubblici, spostarsi in entrata e uscita dai Paesi dell’Unione europea e dell’area Schengen e per accedere a RSA o altre strutture.

Le informazioni nel QR code

La tecnologia QR code è molto utilizzata per la lettura tramite smartphone e non è altro che un codice a barre di due dimensioni composto da sezioni nere e bianche il cui scopo è memorizzare informazioni fino ad un massimo di 7.089 caratteri numerici in una sola volta. Sui social network diversi utenti hanno condiviso il QR Code legato alle vaccinazioni suscitando un forte allarmismo da parte del Garante della Privacy che in un comunicato ha espresso “la sua preoccupazione per l’esposizione di dati sensibili”. La scansione del QR code per l’identificazione e il controllo della validità del pass avviene tramite un’applicazione chiamata VerificaC19 che, però, riferisce solo nome, cognome e data di nascita. L’interessato su richiesta del verificatore, ad esempio un viaggiatore in aeroporto, dovrà esibire il proprio documento di identità per la corrispondenza dei dati anagrafici presenti nel documento con quelli visualizzati dall’applicazione di scansione del codice QR. Il residuo informativo contenuto nel codice QR rimane visibile solo a chi possiede le competenze informatiche per poterlo recuperare tramite un processo di decompressione e di decodifica. I dati contenuti all’interno del certificato digitale sono stati specificati dall’UE in un documento tecnico che stabilisce i set delle informazioni riconducibili ad ogni singolo individuo.

Green Pass: i rischi per la nostra identità digitale

Un’esposizione di dati sanitari personali, che ricordiamo essere la tipologia più rivenduta online, può avere impatto importante sull’identità digitale di un individuo. A marzo, online nel Dark Web, venivano venduti falsi Green Pass a 250 dollari ciascuno e con un’aggiunta di soli 25 dollari si poteva avere l’esito negativo di tre tamponi antigenici. La pubblicazione dei QR code può, inoltre, aiutare il processo di falsificazione, che viene implementato grazie a diversi “campioni” analizzati e studiati dai criminali. Il rischio di pubblicare lo screenshot del proprio QR code è quello di diffondere informazioni personali che possono essere riutilizzati per frodi e furti d’identità. I cyber criminali sfruttano ogni novità del mondo reale per poter truffare utenti e guadagnare denaro: come noi, infatti, utilizzano i social nell’attesa che un utente inesperto condivida informazioni sensibili sul suo profilo. L’impostazione della privacy settata in modo scorretto e l’abitudine di accettare richieste di utenti non conosciuti, amplifica notevolmente il rischio di esposizione. La digitalizzazione è un processo che deve avvenire parallelamente alla sicurezza informatica secondo il concetto di privacy by design, ma anche l’utente, spesso definito come l’anello debole della catena di sicurezza, deve essere in grado di non esporsi a inconsapevoli violazioni di dati. È la conferma della necessità di una formazione sia dei dipendenti in azienda che degli utenti dei social media, che devono prima di tutto riflettere sulla leggerezza con cui si condividono informazioni.

 

Fonte: CyberSecurity360

Numeri di WhatsApp su Google, scoperto un bug che mette a rischio la nostra privacy

Sono circa 300 mila i numeri di telefono associati ad altrettanti account WhatsApp di ignari utenti finiti in chiaro su Google a causa di un bug individuato nella funzione “Clicca per chattare” dell’app di messaggistica istantanea.

Lo strumento “Clicca per chattare”, in particolare, è uno dei meno conosciuti dell’app di messaggistica istantanea ma molto utilizzato dalle piccole e microimprese di tutto il mondo per connettersi con i propri clienti attraverso i siti Web aziendali. Consente, infatti, di aggiungere un pulsante nelle pagine dei siti attraverso il quale gli utenti possono avviare una conversazione con i gestori dei siti stessi tramite il servizio di messaggistica.

La falla di sicurezza è stata individuata dal ricercatore di sicurezza indipendente e cacciatore di bug Athul Jayaram e potrebbe aprire la porta a ogni sorta di truffe e cyber attacchi ai danni degli intestatari dei numeri di telefono indicizzati da Google.

Si tratta, dunque, di un altro pericoloso bug scoperto a poca distanza di tempo da quello che consentiva il furto di account WhatsApp mediante finti SMS inviati da contatti presenti in rubrica.

I dettagli del bug

Il bug è stato prontamente segnalato prima a Facebook (proprietaria di WhatsApp) nell’ambito del programma “Bug-bounty Program” che prevede una ricompensa monetaria per tutti coloro che scoprono un bug nella piattaforma di social network e successivamente agli stessi sviluppatori di WhatsApp, che però hanno risposto di essere al corrente di quella che non ritengono essere una falla di sicurezza in quanto una eventuale ricerca su Google mostrerebbe solo informazioni che gli utenti stessi hanno deciso di rendere pubbliche attraverso le pagine dei loro stessi siti Web.

In realtà, i numeri degli utenti finiti in chiaro nelle pagine di ricerca di Google sono stati esposti dal dominio wa.me di proprietà di WhatsApp che memorizza in una stringa di URL del tipo visto precedentemente proprio i metadati raccolti dalla funzione “Clicca per chattare”.

I gestori del dominio wa.me, infatti, non hanno previsto nella directory principale del sito alcun file di testo contenente le regole che bloccano o consentono l’accesso di un determinato crawler (software che analizza automaticamente i contenuti di una rete, di un database o di un sito Web in genere per conto di un motore di ricerca) a un percorso di file specificato nel sito web in questione.

Questa grossolana mancanza consente proprio a Google e agli altri motori di ricerca di indicizzare tutti i contenuti che puntano a questo dominio, compreso quindi i numeri telefonici associati a WhatsApp e utilizzati mediante la funzione “Clicca per chattare” e per questo motivo i numeri di 300 mila ignari utenti sono finiti nei risultati della ricerca pubblica.

Purtroppo i numeri di cellulare sono visibili in chiaro nelle URL associate al dominio wa.me e chiunque se ne impadronisca può quindi conoscere il numero di cellulare dell’utente. E purtroppo non è possibile revocarlo.

Inoltre, un clic sull’URL non rivela il nome dell’utente associato all’utente WhatsApp (ricordiamo che l’app identifica gli utenti in base ai numeri di telefono e non dal loro username come avviane ad esempio nelle mailbox), ma la sua immagine del profilo.

Partendo da questa, un attaccante determinato potrebbe effettuare una ricerca per immagini e raccogliere abbastanza indizi online (ad esempio sui social network) per stabilire l’identità dell’utente e sfruttare poi queste preziose informazioni per compiere truffe mirate oppure venderle a marketer, spammer e truffatori.

Come scoprirlo?

In attesa che il bug venga corretto o quantomeno che WhatsApp intervenga per impedire l’indicizzazione in chiaro dei numeri di telefono archiviati sul dominio wa.me, è possibile effettuare una semplice verifica per scongiurare che il nostro numero sia liberamente accessibile online:

• basta collegarsi, innanzitutto, alla home page di Google e, nella barra di ricerca, si scrive la stringa site:wa.me seguita dal numero di telefono secondo lo schema: site:wa.me +39 123 456 7890;

• se dovesse comparire un risultato, vorrebbe dire che il numero di telefono è stato esposto online. Ovviamente, in questo caso, non ci sarebbe alcun problema di violazione della privacy qualora avessimo deciso di usare il servizio “Clicca per chattare” di WhatsApp per consentire agli utenti di contattare più facilmente noi o la nostra azienda.

 

Fonte: Cybersecurity360

App Immuni, i rischi cyber e l’importanza di una corretta sensibilizzazione degli utenti

L’app di tracciamento Covid-19, Immuni, è online: ci sarà ora una fase di avvio di test rendendo disponibile l’applicazione solo in alcune regioni per poi man mano essere messa a disposizione di tutti i cittadini italiani. Una fase dunque molto delicata, perché consentirà di capire quali sono i rischi cyber a cui è realmente esposta e perché potrebbe essere l’occasione giusta per avviare un efficace piano di sensibilizzazione degli utenti sul suo corretto utilizzo.

Quali sono i reali target?

Un momento importante, un banco di prova che tutti stavano aspettando. Il team di sviluppo di Immuni, Bending Spoons, avrà tutti gli occhi puntati su di sé e avrà anche adottato non solo le tradizionali misure di sicurezza preventiva attraverso l’analisi del codice e le attività di Mobile Penetration test, ma anche soluzioni di sicurezza proattiva e predittiva al fine di contrastare da un lato azioni malevole, ma dall’altro anche anticiparle attraverso azioni di Cyber Threat Intelligence.

Un lancio discusso e dibattuto soprattutto per gli aspetti legati alle tematiche di cyber security e di privacy. C’è da aspettarsi che i ricercatori cyber italiani e non inizieranno ad analizzare tutta l’applicazione per identificare le possibili falle e criticità e segnalarle attraverso le tradizionali procedure di Responsible Vulnerability Disclosure, tenuto conto delle informazioni disponibili e dei relativi impatti per gli utenti che liberamente sceglieranno o hanno scelto di registrarsi.

Ma i criminal hacker sono purtroppo già in azione. Mentre tutti si stanno concentrando sul target principale superprotetto e tutelato – almeno questa è l’aspettativa di tutti noi – ci sono due target forse più semplici da approcciare e che possono garantire lo stesso risultato. Mentre i ricercatori si concentreranno sull’app Immuni, quasi sicuramente i target veramente oggetto di cyber attack saranno la stessa azienda di sviluppo Bending Spoons e gli stessi utenti.

La prima sarà sicuramente attenzionata con attività di cyber attack più tecniche, ma per entrambi i target la metodologia maggiormente utilizzata sarà proprio quella di social engineering (attività digitali e non che hanno l’obiettivo di ingannare la potenziale vittima al fine ad indurla ad effettuare azioni o per rubare informazioni).

Bending Spoons sotto la lente di ingrandimento

In Bending Spoons avranno sicuramente dovuto fronteggiare diversi cyber attack. Si saranno scontrati con diversi tentativi di accesso ai vari sottodomini esposti, con i criminal hacker che cercano di carpire dalla naming convention degli url stessi quali e se fanno riferimento proprio all’app Immuni e allo stesso tempo identificare le possibili aree di staging o DB esposti con il rischio di trovare in realtà servizi relativi a terze parti loro clienti.

Un lavoro immane e notevole di contrasto che Bending Spoons ha gestito in maniera brillante e che continuerà sicuramente a fare, tenuto conto del tasso tecnico e tecnologico dell’azienda e del suo team.

Accanto a questi tentativi un po’ più tecnici, ovviamente sono stati e saranno oggetto di varie tecniche di social engineering. È incredibile il numero di informazioni, e-mail aziendali, personali e cellulari che potenzialmente potrebbero essere identificati tramite i canali social o anche tramite le diverse applicazioni di marketing e di biglietti da visita disponibili online.

I rischi di social engineering per gli utenti

L’altro target che sarà oggetto di attenzione da parte dei criminal hacker siamo noi: gli utenti. Prepariamoci, dovremo e saremo costretti a “non abbassare la guardia”. Saremo bersagliati da diverse tecniche di social engineering e il cybercrime cercherà in tutti i modi di carpire le nostre informazioni o di infettare con malware i nostri dispositivi, computer o smartphone.

Le tecniche maggiormente utilizzate saranno sicuramente: phishing e smishing, false mobile app, spoofing, malware advertising.

Rischi cyber: phishing e smishing

Il phishing era e continua ad essere il principale mezzo per la diffusione di malware e, in generale, per lanciare cyber attacchi. La cara e vecchia e-mail contenente allegati, link o sign-up form studiati per rubarci le credenziali è ancora attualissima. Costa poco, richiede pochissimo sforzo tecnico e garantisce un volume di attacchi difficilmente eguagliabile.

La sua forza è letteralmente la nostra debolezza, che sia culturale o semplicemente frutto di paure: dall’offrire cure contro la Covid-19 fino ad impersonare l’Agenzia delle Entrate, i criminal hacker dietro il phishing non hanno certo dimostrato mancanza d’ingegno, l’arrivo di Immuni potrebbe essere l’ennesima leva valida.

Naturale evoluzione di questa tecnica è lo smishing. Nome che deriva dal mezzo attraverso cui sono inviate le comunicazioni malevoli alla vittima: l’SMS appunto (o qualsiasi altro mezzo di comunicazione istantanea come WhatsApp o Facebook Messenger).

Le comunicazioni riescono ad assumere un elevato tasso di verosimiglianza in modo da convincere l’utente ignaro della truffa ad eseguire la Call To Action richiesta dai cyber criminali. Solitamente l’azione che i malintenzionati richiedono all’utente consiste nell’aggiornamento delle proprie credenziali di login.

False mobile app

Leggermente più avanzata come metodologia, la diffusione di fake app, ovvero app civetta che imitano Immuni per acquisire i dati degli utenti, sono sicuramente un altro cyber risk da tenere in considerazione.

Queste colpiscono in particolare i dispositivi Android, visto che Google Play Store è fin troppo spesso ricettacolo di questi fake. Un’emergenza nota alla stessa Google, che ha provato a metterci una pezza con il Play Protect, una sorta di scanner antivirus che analizza le app prima che queste vengano installate sullo smartphone. Ma questo non ha fermato i criminal hacker che riescono ancora a bypassare il sistema.

Lo spoofing

Lo spoofing, traducibile con “manipolazione” o “occultamento”, è una tecnica usata dal cyber crime per mascherare e imitare l’identità di utenti o di dispositivi. Di fatto è un tipo di falsificazione tecnologica utilizzata per far credere alla vittima che l’identità del mittente del contatto o del contenuto ricevuto siano assolutamente attendibili.

Come per le altre metodologie di attacco il bersaglio sono sempre i dati sensibili. La versatilità dello spoofing lo rende anche molto adattabile a vari mezzi e strumenti di attacco: mail, DNS, sms e web.

 

Fonte: Cybersecurity360