Impariamo ad utilizzare SMS e App di messaggistica consapevolmente

Consigli pratici di Cybersecurity

Oggi usiamo le App di messaggistica istantanea per tutto, anche per le comunicazioni aziendali. Prendiamo WhatsApp. È comoda, a volte più della stessa e-mail. Il fatto di usare le App di messaggistica, di per sé, non è un male, perché l’e-mail è nata con un protocollo degli anni ’80 e che non è molto sicuro, non a caso la maggior parte degli attacchi di phishing avviene via mail!

I messaggi istantanei, invece, implementano quasi tutti nativamente la crittografia end-to-end.

Cosa significa?

Significa che il messaggio, che viaggia in una rete aperta (internet), viene crittografato da un estremo all’altro. Le chiavi crittografiche sono in possesso solo del mittente e del destinatario. Quindi la crittografia end-to-end incapsula il messaggio, che non può essere letto dal provider – per esempio WhatsApp – o da un eventuale man in the middle (un hacker, per esempio) che riuscisse a intercettarlo nella rete Internet. Le e-mail, invece, non hanno la crittografia end-to-end.

Messaggistica istantanea: ci possiamo fidare?

I messaggi istantanei sono abbastanza sicuri. Sono però anche molto diffusi tra gli utenti. E per questo sono diventati un bersaglio dei cybercriminali.

Diciamo che sono “abbastanza sicuri” perché, se il mittente o il ricevente è compromesso, per esempio ha un malware o uno spyware installato sul telefono, la crittografia non serve. Perché il cybercriminale può entrare e leggere il messaggio.

In più, i messaggi hanno i metadati – data e ora di invio, numero del mittente e del destinatario, la loro localizzazione – e questo genera una fingerprint (un’impronta digitale) che può dare informazioni interessanti. Permette al provider, per esempio a WhatsApp, di capire con chi stiamo parlando.

C’è anche un altro elemento da considerare, WhatsApp ci fa fare il backup della chat, così, se devo migrare i miei dati su un altro telefono, non li perdo e li ritrovo. Ma c’è un problema: i dati sono salvati in chiaro o con chiavi crittografiche sul server del provider e finiscono nel Cloud. Quindi il backup può essere letto. Il consiglio è di disattivare il backup, perché è un punto di esposizione.

Le applicazioni più attente alla sicurezza non permettono di fare il backup della chat.

Perché, ricordiamocelo: non c’è solo WhatsApp. Tutti la usano perché tutti ce l’hanno. Ma il fatto che sia la più diffusa, la rende un obiettivo più interessante. Nessuno attacca un sistema usato da pochissime persone. Per chi tratta informazioni riservate, usare WhatsApp non è una buona idea. Un conto è usarla per mettersi d’accordo con gli amici per mangiare la pizza, un altro è usarla per lavoro.

Attenzione anche a WhatsApp Web

WhatsApp Web è la versione dell’omonima applicazione, per avere WhatsApp sul computer: invece di scrivere i messaggi con lo smartphone, li scrivo dal computer.

Il problema è che si abbina allo smartphone inquadrando un QR code e se lascio il telefono incustodito, un malintenzionato può abbinare il mio profilo WhatsApp col suo computer e leggere le mie informazioni. Quindi facciamo attenzione.

L’App di messaggistica più consigliata dagli esperti di sicurezza informatica è Signal. Che non è una App commerciale (come WhatsApp che è di Facebook e che ha come core business le inserzioni pubblicitarie, non la privacy), ma è finanziata da organizzazioni no profit e non permette il backup delle chat.

Qui dobbiamo chiederci: cosa privilegiare, la facilità d’uso o la sicurezza?

L’utente medio purtroppo tende a preferire la semplicità. Di nuovo, WhatsApp va benissimo se devo organizzare una cena. Non va bene se devo usarla per scopi riservati. Quindi devo analizzare il tipo di dato che uso e muovermi di conseguenza.

Telefoni aziendali: Mobile Device Management (MDM)

Per gestire le flotte di telefoni aziendali, sono nati dei software che si chiamano mobile device management (MDM) e che:

  • Permettono di gestire i dispositivi mobili aziendali
  • Sono uno strumento di gestione e configurazione delle policy
  • Permettono di separare dati aziendali dai dati personali
  • Prevengono l’installazione di applicazioni malevole
  • Cifrano i dati
  • Permettono di fare il wiping da remoto: se il telefono viene perso, posso resettare il telefono da remoto
  • Se il telefono si connette alla rete aziendale – leggi la posta, ti connetti ai server aziendali – è bene utilizzare un software di questo tipo.
  • Un altro rischio per la sicurezza di cui tenere conto: il WI-FI e le reti aperte

Attenzione anche a connettersi alle reti WI-FI libere. Perché possiamo essere facilmente intercettati con dei dispositivi acquistabili a poche decine di euro. I malintenzionati si collegano a un computer e si intromettono tra l’utente e la rete WI-FI dell’albergo, dell’aeroporto, del centro commerciale e così via per leggere i dati.

Anche qui, bisogna fare attenzione. Un conto è se mi collego al sito di un giornale per leggere una notizia. Un altro è collegarsi alla rete aziendale. In questo secondo caso è meglio connettersi al 4G. Un altro consiglio: se mi connetto con un servizio HTTPS, i pacchetti viaggiano crittografati, l’attaccante intercetta i dati, ma non è in grado di leggerli.

Occhio che i nostri telefoni, se non sono impostati diversamente, appena entrano in una rete WI-FI libera si collegano in automatico!

Quindi usiamo USERNAME e PASSWORD solo se navighiamo in una rete sicura.

Smishing: attenzione al phishing via messaggio

Il termine smishing deriva dalla crasi fra le parole SMS e phishing. Attraverso messaggi e siti fasulli, l’aggressore induce la vittima a fare qualcosa che non dovrebbe fare, per esempio, dare le credenziali della banca, lasciare le proprie password, cliccare e scaricare un allegato malevolo.

È uno dei tipi di phishing e avviene attraverso SMS, WhatsApp, Telegram e altre App di messaggistica istantanea.

Molti di questi messaggi arrivano dalle banche o da PayPal, per esempio e il messaggio fa leva sulla paura: “Caro cliente, il tuo conto ha un problema, clicca qui per aiutarci a risolverlo.”

Come evitare di cascarci?

  1. Quando qualcuno ti chiede dei dati personali su un servizio che usi (per esempio PayPal) fai attenzione a chi è. E se hai dei dubbi – perché magari il messaggio è fatto molto bene – inserisci delle credenziali false, perché PayPal ti segnala che sono sbagliate.
  2. Fai attenzione anche all’URL padding (l’imbottitura dell’URL). Cioè a cosa c’è scritto nell’URL, se, per esempio, è così htttp://facebook.com——-validate—–, fai molta attenzione.

Quando abbiamo in mano un cellulare siamo spesso di fretta e abbiamo meno voglia di guardare. Lo schermo è piccolo. È facile abboccare a uno smishing: riceviamo un link verosimile, ci clicchiamo e finiamo su una pagina fasulla, digitiamo le credenziali – magari quelle di Facebook – regalandole a qualcuno che non ne farà un buon uso.

Tutto questo è possibile anche perché è facile falsificare gli SMS e i messaggi WhatsApp. Esistono siti che permettono di inviare messaggi falsificati e che risultano partire da altri, per esempio dalla banca. Le competenze richieste per farlo sono bassissime.

9 consigli per la sicurezza degli smartphone

  1. Installa App provenienti solo da fonti attendibili (Google Play e Apple App Store) Controlla le recensioni degli utenti. Non fidarti dei link nelle e-mail, negli SMS e così via che consigliano di installare un’applicazione.
  2. Non cliccare su link o allegati in email e messaggi di testo. Cancella subito i messaggi sospetti, non cliccare gli URL o i QR code. A volte ci sono volantini con i QR code, li inquadri, ma non capisci dove ti portano e finisci in una pagina sospetta.
  3. Fai il log out dai siti web dopo aver fatto pagamenti (le applicazioni della banca lo fanno in automatico dopo 5 minuti)
  4. Mantieni il sistema operativo e le applicazioni sempre aggiornati
  5. Fai attenzione alle reti WI-FI libere e gratuite. Usa piuttosto i sistemi di connessione sicura 4G o servizi VPN per cifrare i dati in transito
  6. Non lasciare informazioni personali
  7. Non eseguire il jailbreak (se hai un prodotto Apple) o il rooting (se hai un Android) del dispositivo. È una modalità per sproteggere il telefono e installarvi sopra un sistema operativo alternativo: in questo modo però il telefono è meno sicuro.
  8. Fai il backup dei dati e conservali possibilmente offline
  9. Imposta una password di blocco sicura

Il 26% dei telefoni del mondo viene craccato usando gli stessi 10 pin per smartphone, tra cui, anche il banalissimo e molto usato 1234…

 

Fonte articolo PRIVACYLAB: tratto dall’intervento dell’Ingegnere Giorgio Sbaraglia su RAISE Academy.