Gli smartphone sono diventati un’estensione del singolo individuo utilizzati per organizzare la giornata, dalle operazioni più innocue come mantenersi in forma a quelle più delicate come la gestione delle finanze. Ciò però li rende un chiaro vettore di attacco per truffatori e hacker.
Il paesaggio mobile
Dall’avvento dello smartphone, il dispositivo mobile è diventato parte integrante della vita di tutti i giorni. Permette di rimanere in costante contatto con amici e colleghi, controlla i dispositivi domestici intelligenti, offre acquisti in Rete e fornisce servizi bancari online, il tutto da qualsiasi luogo e in qualsiasi momento. Nel 2019, quasi il 75% delle persone nel Regno Unito ha utilizzato i propri dispositivi mobile per il banking online. Nel marzo 2020, la Juniper Research ha previsto che il digital banking negli Stati Uniti sarebbe cresciuto del 54% tra oggi e il 2024, mentre i millennial e altri giovani consumatori stanno velocemente abbandonando il tradizionale rapporto con le banche per il banking digitale e online.
Con così tanta parte delle attività e tutte le credenziali digitali memorizzate su questi dispositivi, non c’è da meravigliarsi se i telefoni cellulari vengono sempre più presi di mira dal crimine informatico anno dopo anno. Secondo i dati di Sift, oltre il 50% delle frodi online coinvolge ora dispositivi Android o iOS.
Minacce ai telefoni cellulari
Il rapporto Verizon 2020 Mobile Security Index separa la minaccia mobile in quattro categorie di base: utenti; app e software; dispositivo; reti a cui si connettono.
Minacce dell’utente
Gli utenti sono il primo punto di sicurezza per qualsiasi dispositivo e non sempre risultano affidabili in materia di conoscenza, vigilanza e tecnologie di sicurezza. Il phishing è la minaccia online più antica, meno tecnica e più persistente e continua a essere il tipo di attacco più comune. Se molti utenti stanno diventando più esperti sugli attacchi di phishing, grazie a risorse come Avast Academy, purtroppo gli utenti mobile vengono presi di mira più frequentemente e con maggiore raffinatezza.
La maggior parte delle campagne di phishing tradizionali si svolgono tramite e-mail, con messaggi fraudolenti che sembrano provenire da organizzazioni legittime per ottenere dati sensibili dalle vittime; ma i dispositivi mobile consentono molti più vettori. Gli attacchi via e-mail sono ancora importanti, ma gli utenti possono anche ricevere SMS pericolosi, telefonate e persino pubblicità fraudolenta, una forma di malvertising, in app e pagine Web. Secondo i dati forniti da Lookout, quasi la metà degli utenti che hanno fatto clic su un collegamento di phishing sono caduti ripetutamente preda di collegamenti di phishing, addirittura sei o più volte. Nonostante l’età della minaccia, il phishing continua ad essere efficace.
Le truffe di phishing possono interessare anche quando non si è una vittima diretta. Una città della Florida ha perso quasi $ 750.000 a causa di una truffa di phishing quando un truffatore si è presentato come appaltatore e ha chiesto al governo locale di aggiornare alcuni dettagli di pagamento, con conseguente invio dei fondi della città allo stesso criminale. Ancora più recentemente, il governo di Puerto Rico ha perso 2,6 milioni di dollari dopo essere caduto vittima di un’e-mail di phishing, grazie a cui i criminali sono riusciti ad appropriarsi dei soldi dai contribuenti. I telefoni cellulari sono spesso utilizzati per avviare truffe su larga scala perché il criminale può fingere di essere in viaggio e quindi difficile da contattare per una verifica.
Gli attacchi di offuscamento URL spesso fanno parte delle campagne di phishing e possono rappresentare una minaccia mobile a sé stante. Spesso è più difficile verificare la legittimità di un link o URL su dispositivi mobile rispetto a laptop o desktop. Le app di navigazione su Internet mobile non comunicano in modo chiaro le informazioni sulla sicurezza in quanto i browser desktop e i collegamenti inviati tramite SMS possono essere facilmente offuscati attraverso molteplici tecniche. L’offuscamento dell’URL può essere semplice come sostituire il dominio di primo livello di un indirizzo o cambiare i caratteri di aspetto simile (come ‘0’ per ‘o’, ‘cl’ per ‘d’, ecc.).
Una forma più sofisticata di questo attacco è nota come attacco omografico. È qui che uno o più caratteri di un nome di dominio sono stati sostituiti con caratteri simili a quelli stranieri, ad esempio il Tau greco (τ) invece della normale ‘t’. Pertanto, i criminali potrebbero registrare un dominio molto simile a uno noto e svilupparlo come sito dannoso. L’utente potrebbe facilmente credere che il collegamento sia all’originale.
Gli utenti di dispositivi mobile accettano spesso le autorizzazioni delle app senza leggerle in maniera accurata. Ciò può consentire alle app fraudolente di utilizzare la fotocamera del dispositivo per spiare l’utente o registrare input come dettagli di accesso e credenziali bancarie. Questo non è sempre colpa degli utenti distratti; alcuni malware mobile sono in grado di sovrapporre richieste di autorizzazioni dall’aspetto innocuo rispetto a quelle reali, facendo credere agli utenti che stanno accettando qualcosa di innocente, mentre in realtà consentono a un’app di accedere a tutti i file sul dispositivo o leggere dati sensibili.
Minacce dell’app
È difficile tenere traccia di quanti smartphone sono in uso in tutto il mondo, ma una stima nel 2018 ha suggerito 2,3 miliardi di smartphone Android. Altre stime hanno suggerito che tra questi ci potrebbero essere ben 100 milioni di dispositivi infettati da malware. Esistono meno telefoni iOS, ma entrambi i gruppi di utenti vengono costantemente attaccati attraverso le app che utilizzano.
Una forma comune di attacco sono le app dannose o armate. Questo tipo di attacco si sviluppa attraverso una tecnica chiamata sideloading, quando l’utente installa un’app da una fonte diversa dall’app store ufficiale. In molti casi, l’esca è una versione di un prodotto commerciale cui è stata violata la protezione per renderla gratuita; oppure potrebbe essere un’app appositamente costruita che finge di essere un gioco o un contenuto per adulti ma che contiene malware.
Un esempio di sideload ha permesso di veicolare un malware, chiamato Agent Smith, all’interno di app legittime, tra cui WhatsApp, nel 2019. Le app sono state scaricate dal negozio di terze parti 9apps.com, di proprietà di Alibaba in Cina. Si ritiene che 25 milioni di telefoni Android siano stati infettati dall’agente Smith: fino a 15 milioni in India, ma oltre 300.000 negli Stati Uniti e 137.000 nel Regno Unito.
Tuttavia, è possibile trovare app dannose anche nei negozi ufficiali. Nel marzo 2020, i ricercatori di sicurezza hanno trovato 56 app infette da malware su Google Play Store che erano state scaricate più di 1 milione di volte. Ventiquattro di queste app erano destinate ai bambini.
Anche la pericolosità delle app dannose sta aumentando. Alcuni ransomware mobile non bloccano semplicemente i file archiviati localmente, ma anche quelli nel cloud storage dell’utente come Google Drive. In aumento anche il fenomeno doxware, che non solo blocca i dati, ma minaccia di pubblicare file personali online. Una percentuale sorprendentemente alta di persone scatta foto intime di sé stessa con i propri dispositivi mobile, per condividerle con i propri partner più stretti. Un sondaggio del 2014 ha rilevato che il 90% delle giovani donne millenials aveva questo tipo di immagini sul proprio telefono. La pubblicazione di questi dati può essere estremamente imbarazzante e portare ad abusi online. Ci possono anche essere informazioni sulla posizione memorizzate nei metadati delle immagini che potrebbero mettere in pericolo la sicurezza personale.
Sta crescendo anche lo stalkerware, che viene generalmente installato da un partner “fidato” per spiare la posizione di una persona e gli amici. Ciò dimostra non solo la diversità delle minacce ai telefoni cellulari, ma anche la diversità delle fonti di minaccia.
Minacce del dispositivo
Lo scambio di SIM è una grave minaccia che è raddoppiata ogni anno dal 2016. Il criminale contatta il servizio dell’operatore telefonico dell’utente e lo convince a trasferire il numero di telefono della vittima su un’altra scheda SIM (“Ho dovuto acquistare un nuovo telefono – ecco i dettagli – si prega di trasferire il mio numero di telefono “). Fino a quando non viene identificato e risolto, il criminale riceve tutte le chiamate e i messaggi SMS, inclusi eventuali codici di autenticazione 2FA, destinati alla vittima. Purtroppo, è molto semplice caderne vittima e persino il CEO di Twitter, Jack Dorsey è stato ingannato.
Sebbene la maggior parte degli attacchi non necessiti dell’accesso fisico diretto a un dispositivo, tale accesso può essere un modo semplice ed efficace per compromettere un obiettivo. Il Juice jacking è un metodo particolare di intrusione nei dispositivi in cui gli hacker sostituiscono o modificano le prese di corrente accessibili al pubblico. La fonte di alimentazione compromessa può quindi essere utilizzata per installare malware.
Nessuno di questi attacchi innovativi è necessario se un utente malintenzionato può impadronirsi del nostro telefono e questo può essere semplice come raccoglierlo quando lo dimentichiamo o lo perdiamo. A Londra, tra il 2017 e il 2018 sono stati persi oltre 25.000 dispositivi mobile solo nei mezzi pubblici e ogni mese vengono persi o rubati in media 23.000 dispositivi Android. Il quattro percento degli utenti Android perderà il dispositivo almeno una volta, quindi è probabile che dei ladri opportunisti abbiano frequenti opportunità di acquisire dispositivi e potenzialmente tutte le informazioni che vi sono contenute.
Minacce di rete
I nostri dispositivi mobile sono, per definizione, dispositivi IoT e spesso utilizzati come hub di controllo IoT. Dobbiamo trattarli con la stessa considerazione che diamo agli altri nostri dispositivi IoT perché la loro perdita può portare all’abuso di ogni dispositivo intelligente che controllano.
Gli attacchi Man-in-the-Middle – o MitM – vengono spesso eseguiti tramite hotspot Wi-Fi pubblici, indipendentemente dal fatto che le reti legittime siano state compromesse o che hotspot fraudolenti siano stati creati appositamente per scopi dannosi. Le statistiche suggeriscono che ogni anno il 7% dei dispositivi mobile potrebbe subire un attacco MitM. Dobbiamo trattare con cautela ogni connessione Wi-Fi esterna (bar, hotel, aeroporti e così via).
Proteggersi
La maggior parte, ma non tutte, delle minacce mobile derivano dal social engineering in cui il criminale persuade l’utente a fare ciò che vuole lui piuttosto che ciò che l’utente dovrebbe fare. La tecnologia non può impedire di fare ciò che si preferisce sul proprio telefono. Nel proteggere se stessi, la difesa primaria è la consapevolezza della minaccia. Abbiamo discusso di alcune di queste minacce, ma non di tutte. Mantenere una consapevolezza costante attraverso la vigilanza e l’apprendimento è per questo fondamentale.
Non tutte le minacce derivano dal social engineering. Nel 2019, un bug ha permesso agli utenti di WhatsApp di essere infettati da remoto semplicemente tramite una telefonata, a cui l’utente non aveva nemmeno bisogno di rispondere. Se la consapevolezza non può prevenire l’infezione, la tecnologia può aiutare. Ogni utente di telefonia mobile dovrebbe avere un prodotto anti-malware installato sul telefono senza dimentinticare di crittografare i propri dati.
Lascia un commento