Probabilmente quando si parla di phishing, pensi all’e-mail: nel bene o nel male, è stata inventata in modo che chiunque, supponendo che abbia una lista d’indirizzi e-mail abbastanza lunga, potrebbe facilmente inviare un messaggio a tutti.
I cybercriminali hanno capito come utilizzare gli ambienti di messaggistica protetta anche per il phishing, incluso WhatsApp. Abbiamo soprannominato questo tipo di attacco Whishing – abbreviazione di “phishing WhatsApp”.
Matt Boddy esperto di Sophos (azienda britannica di software e hardware di sicurezza, sviluppa prodotti per nodi di rete di comunicazione, crittografia, sicurezza di rete, sicurezza della posta elettronica, sicurezza mobile e gestione unificata delle minacce. Protegge anche gli utenti domestici, attraverso un software antivirus gratuito), su Facebook Live in video ha spiegato come funziona e come evitarlo.
Matt Boddy è stato testimone di una recente truffa su WhatsApp, quella dei biglietti gratuiti di Virgin Atlantic, ha detto:
«Lo scorso venerdì ho ricevuto un messaggio su WhatsApp, ha suscitato il mio interesse: 2 biglietti gratuiti su Virgin Atlantic! Biglietti gratuiti! Per ogni famiglia! Doveva essere una truffa.
Virgin Atlantic secondo il messaggio, stava regalando due biglietti gratuiti per famiglia per celebrare il suo 35° anniversario. Sembrava troppo bello per essere vero, come può dirvi qualsiasi lettore di Naked Security.
Ho dato un’occhiata più da vicino. L’Url sembra legittimo, è quello che appartiene a Virgin Atlantic, giusto? Sbagliato.
Dai un’occhiata più da vicino e ingrandisci la “r” in “Virgin” – vedi il punto sotto?
viṛginatlantic.com
La “r” è in realtà una “ṛ” con il punto, come riportato da Wikipedia:
Ṛ ( minuscolo : ṛ ) è una lettera dell’alfabeto latino, formata da R con l’aggiunta di un punto sotto la lettera. E’ usato nella traslitterazione delle lingue afro-asiatiche per rappresentare una “r enfatica”.
In pratica, invece di una vacanza di lusso gratuita, ci siamo ritrovati con un messaggio molto ingannevole di phishing o di smishing SMS (potremmo chiamarlo WhatsPhishing o frode del whishing).
Ho inviato il messaggio al mio alias super-segreto di WhatsApp su un dispositivo mobile Android che utilizzo per prova, senza alcuna sicurezza mobile installata. Cliccando sul collegamento l’alias è “caduto” vittima della truffa.
Ecco che cosa accade: la pagina si apre nel browser del tuo cellulare, se hai gli occhi abbastanza aquilini, puoi vedere subito che è phishing. Ecco come appare viṛginatlantic.com in una barra degli indirizzi di Chrome:
www.xn--viginatlantic-jm1g.com
xn-- all’inizio del dominio dice al browser che il nome di dominio è codificato utilizzando punycode (un modo di convertire le parole che non possono essere scritte in ASCII, come ad esempio la frase greca antica ΓΝΩΘΙΣΕΑΥΤΟΝ (conosci te stesso), in una codifica ASCII, in questo modo xn--mxadglfwep7amk6b.
Ciò rende possibile codificare i cosiddetti nomi di dominio internazionali (IDN) – quelli che includono caratteri non ASCII – utilizzando solo le lettere romane dalla A alla Z, le cifre da 0 a 9 e il trattino (-). WhatsApp interpreta il punycode e mostra la versione internazionalizzata del dominio, ma Chrome non lo fa.
Tornando alla pagina che si è aperta nel browser, riguarda un sondaggio di quattro domande sulle tue esperienze precedenti, un po’ d’informazioni personali (identificazione personale), e la tua età.
La pagina cerca di legittimarsi in qualche modo con il marchio Virgin Atlantic e con una raccolta di falsi commenti su Facebook. Se decidi di compilare il sondaggio, ti sarà chiesto di condividere il messaggio di WhatsApp con 20 amici o gruppi utilizzando un comodo pulsante. Poi vieni indirizzato verso un sito web separato che ti dice “sei solo ad un passo” e chiede più informazioni personali.
E’ interessante notare che, anche se la truffa è in inglese, il codice è pieno di commenti come <!– Pulsante zum Teilen –>, suggeriscono che è stato creato da madrelingua tedesca.
Che cosa fare?
Stai attento! L’attacco cerca di rendersi plausibile usando un nome di dominio che sembra reale e proveniente da persone che conosci, anche se la versione che ho visto è arrivata tramite WhatsApp, è stata individuata anche su Facebook.
La tua migliore difesa è una combinazione di sicurezza mobile, come Sophos Mobile Security per Android o iOS, e una chiara comprensione che se ricevi un messaggio di WhatsApp, Tweet, post di Facebook, email o altro messaggio non richiesto che sembra troppo bello per essere vero, probabilmente non lo è».