Nell’infinito oceano di servizi digitali che ogni giorno nascono come funghi, il problema fondamentale è quello dell’autenticazione dell’utente, cioè assicurarsi che la persona fisica che ha attivato quel particolare servizio sia poi l’unica che possa usarlo, per ovvi motivi di privacy (in questo caso, nell’accezione che viene data comunemente a questo termine). Il metodo di autenticazione per eccellenza è la password, robusto solo se essa è non banale, mantenuta riservata e non viene persa (dimenticata); ma l’esperienza ha dimostrato che nella stragrande maggioranza dei casi la password non è sufficiente, per cui è diventata prassi comune aggiungere un secondo metodo di autenticazione, almeno per operazioni critiche (per esempio, le operazioni bancarie richiedono questo sistema per legge), e questo secondo metodo è l’utilizzo di un PIN, che a differenza della password, viene generato dal servizio stesso, inviato ad un dispositivo (smartphone) riconosciuto come appartenente all’utente e soprattutto scade dopo un breve periodo di tempo (tipicamente pochissimi minuti, ma in qualche caso può durare anche ore).
Il furto d’identità
Nell’ambito delle applicazioni di messaggistica questo sistema viene utilizzato tipicamente per autorizzare l’accesso su dispositivi e applicazioni diversi da quello iniziale con cui si è aderito al servizio, in modo di poterne usufruire in modo più comodo o contemporaneo. Ovviamente, le “geniali” menti degli hacker (in questo caso, nell’accezione di criminali alla ricerca di identità digitali da rubare) hanno trovato il modo di sfruttare questo metodo per i loro scopi: il caso più eclatante, se non altro per la diffusione, è quello che colpisce Whatsapp.
Il sistema escogitato dagli hacker sfrutta l’ingenuità e la buona fede della vittima: dopo aver effettuato una richiesta di autorizzazione per un’altro dispositivo (il suo, ovviamente), il che causa l’invio alla vittima del PIN, la contatta affermando di aver fatto un errore e richiede di inviargli il PIN, con il quale può entrare nell’account della vittima, e fare quello che vuole.
Le vittime possono essere bersagli predeterminati (basta conoscere il numero di telefono associato all’account Whatsapp), ma è più facile che le vittime siano scelete a caso: infatti lo scopo è poi quello di fare un ricatto (più o meno corposo a seconda che si offra di restituire il controllo dell’account, o di divulgare le conversazioni), oppure di utilizzare la falsa identità per fare in modo “anonimo” ulteriori azioni criminali.
La sicurezza prima di tutto
La buona notizia è che questa metodologia di furto d’identità si basa sulla “collaborazione” inconsapevole della vittima, e non su oscuri (per i più) attacchi molto tecnici su cui non è possibile avere il controllo completo. Di conseguenza, per evitare di cadere vittime è sufficiente una sana dose di diffidenza: comunicazioni inaspettate, sospette, da sconosciuti, etc devono semplicemente essere ignorate (a meno, nei casi più gravi, di effettuare poi segnalazioni alle autorità competenti), e non solo quando contengono richieste, ma anche quando contengono collegamenti e file. In particolare, tutti i dati che utilizziamo per le nostre autenticazioni (si chiamino PIN, codici, password, etc) non devono essere mai comunicati a nessuno, soprattutto attraverso comunicazioni impersonali (unica eccezione: esistono precedure di assistenza riconosciute e per cui si è stati avvisati preventivamente della loro esistenza e di come funzionano, che però usano normalmente codici dedicati).
Ovviamente non in tutti i casi basta la diffidenza, è anche necessario fare ricorso a tutte le misure tecniche che ci vengono messe a disposizione: antivirus (esistono virus che silenziosamente spiano le nostre attività, catturando conversazioni, credenziali, file, etc), antispam (sistemi che riconoscono i messaggi sospetti), cifratura (per rendere illeggibili i dati), solo per fare gli esempi più banali. Nel cercare aiuto ed indicazioni su come fare certe operazioni, bisogna sempre privilegiare ciò che viene detto dal fornitore del servizio stesso, piuttosto che da più o meno famosi “guru”.
Quindi, l’uso dei PIN “a scadenza” come secondo metodo di autenticazione è certamente utilissimo, e giustamente si è introdotto anche nei servizi che potremmo considerare meno critici: basta (cioè: è necessario) essere consapevoli dei loro pericoli e saperli evitare.
LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.