WhatsApp, insieme alla sua società madre Meta, ha avviato un’azione legale contro tre società che, secondo lei, “hanno indotto in errore oltre un milione di utenti WhatsApp ad auto-compromettere i propri account come parte di un attacco di acquisizione di account”.
In parole povere, l’autocompromissione in questo contesto si riferisce al phishing basato su app: crea una finestra di dialogo di accesso fasulla che conserva una copia non autorizzata di tutto ciò che inserisci, compresi i dati personali come le password.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Come probabilmente puoi immaginare, e come afferma WhatsApp nel suo deposito in tribunale, il valore principale di questi account compromessi per i presunti trasgressori era che potevano essere utilizzati per “inviare messaggi di spam commerciali”.
A differenza dell’ecosistema e-mail, dove chiunque può inviare e-mail a chiunque (o, nel caso di mittenti di messaggi in blocco, dove qualcuno può inviare e-mail a tutti), le app di messaggistica e social media come WhatsApp si basano su gruppi chiusi.
Questo tipo di mondo online non è affatto facile da infiltrare per spammer e truffatori.
In effetti, conosciamo molte persone che non usano quasi più la posta elettronica, preferendo comunicare con amici e familiari esattamente attraverso questo tipo di gruppo chiuso, principalmente perché evita il flusso di spazzatura invadente e indesiderata che devono affrontare tramite e-mail.
Naturalmente, il rovescio della medaglia di un ecosistema di messaggistica a gruppi chiusi è che è più probabile che tu creda, o almeno dai un’occhiata, alle cose che ricevi da persone che conosci.
È improbabile che tu apra documenti o clicchi su collegamenti che provengono chiaramente da un mittente di posta elettronica che non hai mai incontrato prima, che non vuoi incontrare e non lo farai mai…
…ma anche se sai che tua cugina Chazza è incline a condividere meme lamentosi e video che fanno alzare le sopracciglia, probabilmente dai comunque un’occhiata a loro, perché sai già cosa aspettarti, e, ehi, è tuo cugino, non del tutto mittente in linea casuale.
Intermezzo promozionale ... continua la lettura dopo il box:
In altre parole, se i truffatori possono entrare nei tuoi account sui social media, non solo ottengono l’accesso alla tua lista di persone-sono-felice-di-chattare, ma acquisiscono anche la capacità di inviare spam a quell’elenco di persone che -sono-felice-di-sentirti-con-messaggi che apparentemente sono stati inviati con la tua benedizione.
Sfortunatamente, non basta fidarsi del mittente, perché devi fidarti anche del dispositivo del mittente e del suo account.
Lo spamming e la truffa sui social network basati su account compromessi è un po’ come il Business Email Compromise (BEC), in cui i truffatori si prendono la briga di ottenere l’accesso a un account di posta elettronica ufficiale all’interno di un’azienda.
Ciò significa che sono in grado di ingannare i dipendenti di quell’azienda in modo molto più convincente di quanto potrebbero fare come mittenti esterni.
Cosa fare?
- Evita di andare fuori mercato se puoi. Come ci ricorda questo caso, molti malware superano il processo automatizzato di “controllo del software” di Google Play, ma ci sono almeno alcuni controlli e bilanciamenti di sicurezza informatica di base applicati da Google. Al contrario, molti siti di download Android fuori mercato adottano deliberatamente un approccio “va bene qualsiasi cosa” e alcuni addirittura si vantano di accettare app che Google ha rifiutato.
- Prendi in considerazione un’app di sicurezza informatica di terze parti per il tuo Android. Le app degli specialisti della sicurezza informatica ti aiutano a rilevare e bloccare un’ampia gamma di siti Web non autorizzati e app dannose, anche se il Play Store di Google li lascia passare. (Sì, Sophos ne ha uno ed è gratuito e lo scarichi qui.)
- Se sembra troppo bello per essere vero, è troppo bello per essere vero. Hai davvero bisogno di cambiare i colori di WhatsApp? Se l’app ufficiale non ti consente di farlo, perché dovresti fidarti di uno che afferma di aver scoperto una soluzione alternativa? In particolare, non prestare molta, o addirittura nessuna, attenzione alle valutazioni crowd-sourced sui siti di download di app, incluso lo stesso Google Play. Quelle recensioni avrebbero potuto essere lasciate da chiunque.
- Rimuovi regolarmente le app che non ti servono davvero o che non usi molto. In parole povere, più app hai sul telefono, maggiore è la tua superficie di attacco e più è probabile che finirai per divulgare dati personali che non volevi. Perché dare spazio in casa alle app che non servono a uno scopo chiaro e utile?
Diffidare particolarmente delle app che affermano di essere disponibili solo su siti di download alternativi per motivi intriganti come “Google non vuole che tu abbia questa app perché riduce le entrate pubblicitarie” o “questa app di investimento è solo su invito , quindi non condividere questo link speciale con nessuno”.
Esistono molte app legittime e utili che non sono in linea con le regole commerciali e commerciali di Google e che quindi non entreranno mai nel mondo competitivo di Google Play…
…ma ci sono molte, molte altre app che vengono rifiutate da Google perché contengono chiaramente difetti di sicurezza informatica, a causa di programmatori pigri, incompetenti o entrambi, o perché i creatori dell’app erano criminali informatici non ricostruiti.
Come ci piace dire: In caso di dubbio/Lascialo fuori.
