La notizia della compromissione dell’account WhatsApp del presidente del Copasir Raffaele Volpi (Lega) è imbarazzante quanto preoccupante.
Il ruolo istituzionale del dott. Volpi rende l’accaduto sconcertante, val la pena ricordare che mentre da piu’ parti si invoca la costituzione di uno o piu’ agenzie di intelligence nazionali, il presidente del Comitato parlamentare per la sicurezza della Repubblica (COPASIR) è stata vittima di un attacco, probabilmente non complesso.
Parliamo quindi della figura apicale di organo del nostro Parlamento che esercita il controllo parlamentare sull’operato dei servizi segreti italiani.
La compromissione di un suo mezzo di comunicazione, qualunque esso sia, rappresenta una minaccia concreta per l’intera rete di contatti, tra cui è lecito attendersi alti esponenti del nostro governo e dei nostri apparati di sicurezza.
Prima di elaborare ipotesi sull’accaduto è lecito chiedersi per quale motivo sia utilizzato Whatsapp per le comunicazioni, considerata la disponibilità di sistemi ritenuti piu’ sicuri.
Nei mesi scorsi WhatsApp è finito nell’occhio del ciclone dopo aver annunciato di condividere i metadati relativi all’utilizzo da parte degli utenti con il gigante Facebook che ne detiene la proprietà.
La domanda quindi è, che prezzo diamo alla nostra privacy? E poi, quanto vale la privacy di un alto funzionario del nostro apparato dell’intelligence? Possibile che nessuno istruisca la nostra classe politica ed i funzionari dei nostri servizi ad un utilizzo sicuro della tecnologia?
Cerchiamo quindi di comprendere quali sono gli scenari che potrebbero aver portato alla compromissione dell’account Whatsapp del dott. Volpi,
Pur non disponendo di informazioni sulla compromissione dell’account, i possibili scenario sono tre, un attacco di SIM Swapping, un infezione malware, oppure una “truffa del codice a 6 cifre.”
Nel caso di un attacco di SIM swapping, l’attaccante riesce a prendere possesso del numero di telefono della vittima, utilizzando una tecnica di ingegneria sociale per ingannare il gestore telefonico.
L’attaccante riesce a farsi assegnare una nuova SIM, avente il numero della vittima, dall’operatore, operazione che può essere effettuata in presenza presso un negozio o online producendo ad esempio falsi documenti.
Una volta ottenuta una SIM associata al numero della vittima, l’attaccante può agire in nome e per conto della stessa. In questo caso la vittima però noterebbe un’ interruzione del servizio telefonico e quindi potrebbe insospettirsi e contattare il call center dell’operatore lamentando un disservizio.
Questo attacco consente di violare molteplici servizi online che utilizzano il numero di telefono come sistema di autenticazione, compresi i servizi di messaggistica istantanea come WhatsApp, i servizi di posta elettronica, account di social network come Facebook ed Instagram, ed anche servizi bancari sotto particolari condizioni.
Un altro possibile scenario di attacco vede il coinvolgimento di un malware che potrebbe aver consentito all’attaccante di controllare il dispositivo della vittima, di utilizzare le applicazioni installate e di accedere ai dati in esso contenuti.
E’ possibile infettare un telefono in molti modi, condividendo un link o un file attraverso applicazioni di posta o di messagistica, oppure facendo installare alla vittima una applicazione malevola.
In attacchi complessi è addirittura possibile fruttare zero-day exploit per compromettere un dispositivo semplicemente inviando un messaggio alla vittima senza che la stessa ne prenda visione.
Un sistema antivirus sul telefono aiuterebbe, ma non garantisce una protezione totale del dispositivo. Ma per quale motivo dopo aver infettato il telefono del dott. Volpi, l’attaccante avrebbe dato prova della sua presenza mandando messaggi come quelli riportati degli organi di stampa?
Potrebbe trattarsi di un attaccante occasionale che non aveva alcuna contezza dell’identità della vittima, oppure un attaccante sofisticato potrebbe aver inviato quei messaggi come tattica diversiva, proprio per lasciar credere che ci si trovi dinanzi a degli sprovveduti. Purtroppo sono solo congetture e senza ulteriori approfondimenti non è possibile fare ulteriori ipotesi.
Infine, non possiamo escludere che si tratti di una truffa del codice a 6 cifre che impazza oramai da alcuni mesi.
Questa truffa sfrutta la procedura di WhatsApp prevista per il cambio di telefono. Per verificare l’identità del proprietario dell’account Whatsapp quando si cambia telefono, WhatsApp invia un messaggio al numero di telefono contenente un codice di sei cifre. Inserendo il codice nell’ applicazione WhatsApp in fase di lancio sul nuovo dispositivo si verifica l’identità del proprietario dell’account WhatsApp e si autorizza l’uso dell’account su sul nuovo telefono. Ottenendo questo codice un attaccante potrebbe quindi rubarci l’account WhatApp. Questo è possibile con un semplice trucco, richiedendo il codice di conferma per il numero associato alla vittima, tuttavia il codice di 6 cifre arriverebbe alla vittima e non all’attaccante.
A questo punto si potrebbe ingannare le vittima per farcelo inviare. Come? L’attaccante utilizza un trucco di ingegneria sociale, invia alla vittima un messaggio del tipo
“Scusa, ho richiesto un codice a WhatsApp ma per sbaglio ho messo il tuo numero di telefono invece del mio. Potresti mandarmelo?”.
Se la vittima lo invia all’attaccante il codice di 6 cifre, quest’ultimo potrà utilizzarlo per prendere possesso dell’account della vittima accedendo quindi a tutte le sue conversazioni ed eventuali dati come immagini e documenti scambiate attraverso il servizi.
Nel caso del dott. Volpi speriamo l’account non sia stato utilizzato per trasferire informazioni e documenti riservati, in ogni caso l’attaccante preso possesso del suo account avrebbe potuto condividere link e documenti che una volta visitati o aperti avrebbero consentito di compromettere il telefono del destinatario, e possiamo immaginare chi siano i contatti del funzionario.
Considerata la caratura del dott. Volpi, gli scenari proposti sono a dir poco sconcertanti.
Pierluigi Paganini è Ceo di Cybhorus, Membro Gruppo Threat Landscape Stakeholder Group ENISA (European Union Agency for Network and Information Security). Adjunct Professor in Cyber Security presso Università Luiss Guido Carli. Collaboratore SIPAF – Prevenzione dell’ utilizzo del sistema finanziario per fini illegali – Ministero Dell’Economia e delle Finanze. Membro Team di Ricerca del Cyber Security and International Relations Studies (CCSIRS)