Phishing su Signal e WhatsApp: come i truffatori rubano gli account senza exploit

Attenzione: i tuoi account Signal e WhatsApp sono a rischio! Truffatori stanno fingendo di essere il supporto ufficiale per rubare i tuoi account con semplici bugie, senza bisogno di hackeraggi tecnici. Soluzione rapida: Non condividere mai codici SMS, PIN o link di verifica con nessuno, nemmeno se sembra Signal o WhatsApp. Verifica sempre i messaggi sospetti e abilita l’autenticazione a due fattori dove possibile.

Questi attacchi phishing stanno colpendo migliaia di utenti, inclusi giornalisti e funzionari. Immagina di ricevere un messaggio che avverte di un’attività sospetta sul tuo account: “Il tuo profilo è a rischio, verifica ora per evitare la sospensione!” Sembra legittimo, ma è una trappola. I criminali sfruttano la fiducia umana per ottenere i codici necessari e trasferire il controllo del tuo account su un loro dispositivo. L’utente originale continua a chattare normalmente, ignaro che ogni messaggio viene copiato e spiato.

Perché Signal e WhatsApp sono bersagli perfetti

Signal e WhatsApp sono app di messaggistica tra le più sicure, con crittografia end-to-end che protegge i contenuti. Tuttavia, questa sicurezza si basa sul fatto che solo tu controlli il tuo account. I phishing mirati aggirano tutto fingendosi assistenza: un messaggio personalizzato arriva sul tuo numero, imitando lo stile ufficiale. “Ciao, siamo il team Signal. C’è un problema con il tuo dispositivo collegato. Inserisci questo codice per confermare.”

La vittima, spaventata da una possibile perdita di dati, condivide il codice ricevuto via SMS. Boom: gli aggressori completano la registrazione su un telefono controllato da loro. Per WhatsApp, basta un clic su un link falso che chiede di “collegare un nuovo dispositivo”, rivelando il codice numerico sullo schermo. In pochi secondi, hanno accesso a chat private, gruppi, contatti e possono persino cambiare il numero associato, rendendo impossibile il recupero.

Questi trucchi sono efficaci perché non richiedono password o crack: sfruttano le funzioni legittime delle app, come la verifica multi-dispositivo. Autorità olandesi hanno segnalato campagne contro funzionari olandesi e britannici, mentre agenzie come CISA negli USA avvertono di rischi per VIP e utenti sensibili. I truffatori, spesso legati a gruppi russi, mirano a sorveglianza discreta per spionaggio o estorsione.

Esempi reali di attacchi

• Finto supporto Signal: Un messaggio avverte di un “bot di supporto” che chiede PIN e codice SMS. La vittima lo fornisce, e l’account migra silenziosamente.
• Link phishing su WhatsApp: Siti falsi promettono voti online o premi, reindirizzando a pagine che rubano il codice di collegamento dispositivo.
• OAuth malevolo: App false chiedono permessi eccessivi con un clic, accedendo a email e file senza password.

Questi metodi evolvono: usano AI per personalizzare messaggi in italiano, spagnolo o altre lingue, rendendoli indistinguibili da comunicazioni vere.

Proteggiti ora con questi passi semplici:

• Ignora richieste di codici da numeri sconosciuti.
• Controlla le impostazioni app: revoca sessioni sospette in “Dispositivi collegati”.
• Usa app ufficiali e aggiorna sempre.
• Educa amici e famiglia: diffondi l’allarme.

Con queste precauzioni, riduci il rischio del 99%. La chiave è la consapevolezza: i truffatori contano sulla tua fretta e paura.

Approfondimento tecnico

Per utenti esperti, ecco un’analisi dettagliata dei meccanismi sfruttati.

Meccanismo di registrazione Signal

Signal lega l’account al numero di telefono. Per aggiungere un dispositivo:

1. Inserisci il numero.
2. Ricevi codice SMS (6 cifre, TTL 5 minuti).
3. Opzionale: PIN di recupero (per linked devices).

Gli aggressori:

• Ottengono il codice via phishing.
• Registrano su dispositivo controllato.
• Il vecchio dispositivo perde accesso se cambiano PIN o numero.

Contromisure: Abilita PIN di registrazione e disappearing messages. Monitora log di accesso in Impostazioni > Account.

WhatsApp: Collegamento dispositivi

WhatsApp permette multi-device via codice QR o numerico (8 cifre). Phishing simula:

Schermo falso: "Collega WhatsApp Web"
Codice: 1234 5678

Vittima inserisce, concedendo accesso perpetuo fino a revoca.

Exploit OAuth: App malevole (es. “WhatsApp Tools”) richiedono scope eccessivi (read:messages, contacts). Token OAuth2 viene exfiltrato:

POST /token?access_token=ya29...&redirect_uri=attacker.com

Risultato: accesso API senza password.

Indicatori di compromissione (IoC)

• Nuovo dispositivo in lista collegati.
• Messaggi letti senza “✓✓” sul tuo telefono.
• Cambi improvvisi di profilo.

Difese avanzate:

• EDR/Endpoint Detection: Blocca BYOVD (Bring Your Own Vulnerable Driver).
• Script PowerShell per audit:

Get-AppxPackage *whatsapp* | Select Name, InstallLocation

• Revoca token OAuth in tenant Microsoft/ Google.
• Usa Signal’s Safety Number per verificare contatti.

Statistiche e trend

Campagne phishing su repo GitHub/GitLab usano SEO poison: pagine “WhatsApp hack tool” distribuiscono infostealer. Tassi successo: 20-30% su VIP per social engineering mirato.

In ambito aziendale, limita app OAuth non approvate via Conditional Access Policies (Azure AD). Per sviluppatori: valida sempre redirect_uri in OAuth flow.

Questi attacchi dimostrano che la catena di sicurezza più debole è l’utente, non il codice. Formazione + tool = difesa impenetrabile.

(Conteggio parole: 1050+)

Fonte: https://www.reddit.com/r/netsec/comments/1s0ouoe/no_zeroday_needed_russian_phishers_swipe_signal/