Un'Azienda Italiana di Sorveglianza Ha Usato una Falsa App WhatsApp per Distribuire Spyware

WhatsApp ha reso noto che un'azienda italiana di sorveglianza chiamata ASIGINT, una sussidiaria di una società denominata SIO, ha ingannato circa 200 utenti inducendoli a scaricare una versione contraffatta dell'app di messaggistica carica di spyware. Le vittime si trovavano principalmente in Italia, e la campagna è stata descritta come altamente mirata, basandosi sull'ingegneria sociale piuttosto che su vulnerabilità tecniche di WhatsApp stesso.

Una volta che WhatsApp ha identificato gli account coinvolti, l'azienda ha disconnesso quegli utenti dalla piattaforma e li ha esortati a individuare e rimuovere l'applicazione fraudolenta dai loro dispositivi. SIO ha dichiarato pubblicamente di collaborare con forze dell'ordine e agenzie di intelligence, sebbene la comunicazione di WhatsApp non abbia validato né avallato tali affermazioni.

È la seconda volta in 15 mesi che Meta, la società madre di WhatsApp, affronta pubblicamente attività di spyware legate all'Italia. Questo schema suggerisce una crescente attenzione verso gli strumenti di sorveglianza commerciale che operano nella regione.

Come Si Manifesta Concretamente l'Ingegneria Sociale

Il termine "ingegneria sociale" viene spesso trattato come gergo tecnico, ma il concetto è semplice: invece di violare un sistema, gli aggressori manipolano le persone inducendole ad aprire loro la porta.

In questo caso, le vittime sono state ingannate inducendole a scaricare un'app che sembrava WhatsApp ma non lo era. L'inganno ha probabilmente coinvolto una combinazione di link di download fasulli, istruzioni fuorvianti o impersonificazione di una fonte attendibile. Non è stata necessaria alcuna vulnerabilità nel codice di WhatsApp. L'attacco ha funzionato perché le persone si sono fidate di ciò che veniva loro mostrato.

Questa è una distinzione importante. Quando un'azienda risolve una falla software, elimina un punto di accesso tecnico. Gli attacchi di ingegneria sociale non dipendono da quelle falle. Si basano sul comportamento umano, in particolare sulla tendenza a fidarsi di interfacce dall'aspetto familiare e a seguire le istruzioni di presunte autorità.

Nessun aggiornamento di un'app, per quanto accurato, può colmare completamente quella lacuna.

Un Problema Ricorrente con gli Spyware Commerciali

Gli strumenti di sorveglianza commerciale venduti a governi e forze dell'ordine sono stati oggetto di preoccupazione costante tra i ricercatori di privacy e le organizzazioni per le libertà civili. Le aziende che sviluppano questi strumenti sostengono spesso di servire scopi investigativi legittimi. I critici fanno notare che gli stessi strumenti possono essere, e sono stati, utilizzati contro giornalisti, attivisti, avvocati e comuni cittadini senza alcun legame con attività criminali.

ASIGINT e SIO rientrano in un profilo familiare in questo settore. L'esistenza di una falsa app WhatsApp progettata per distribuire silenziosamente spyware solleva interrogativi su supervisione, criteri di individuazione dei bersagli e su quali quadri giuridici, se esistenti, abbiano regolato questa particolare campagna. La comunicazione di WhatsApp non ha affrontato queste domande, ma il fatto che una piattaforma di primaria importanza si sia sentita in dovere di nominare pubblicamente l'azienda e avvertire gli utenti colpiti è degno di nota.

Per le circa 200 persone coinvolte in questa campagna, l'esperienza costituisce un brusco promemoria del fatto che la minaccia non proveniva da una falla in un'app che avevano scelto di usare. Proveniva dall'essere state ingannate inducendole a usare un'app completamente diversa.

Cosa Significa Questo per Te

L'utente medio di WhatsApp difficilmente sarà il bersaglio di un'operazione di sorveglianza commerciale. Queste campagne tendono a essere costose, laboriose e focalizzate su individui specifici. Tuttavia, il metodo sottostante — ingannare qualcuno inducendolo a installare un'app dannosa facendola sembrare legittima — non è esclusivo della sorveglianza a livello statale. Varianti di questa tattica compaiono nelle campagne di phishing quotidiane e nelle truffe in tutto il mondo.

Il caso WhatsApp è un utile promemoria del fatto che la sicurezza digitale non riguarda solo il fidarsi delle app giuste. Richiede anche di prestare attenzione a dove quelle app vengono scaricate.

Ecco alcune misure pratiche da considerare:

  • Scarica le app solo da fonti ufficiali. Su Android, questo significa il Google Play Store. Su iOS, l'App Store. Evita di installare app da link inviati tramite messaggi, anche da persone che conosci.
  • Verifica prima di installare. Se qualcuno ti invia un link per scaricare un'app, controlla direttamente il sito ufficiale di quell'app invece di seguire il link.
  • Mantieni attive le funzioni di sicurezza del tuo dispositivo. La maggior parte dei sistemi operativi moderni segnala le app provenienti da fonti non verificate. Presta attenzione a quegli avvisi.
  • Diffida dell'urgenza. Gli attacchi di ingegneria sociale creano spesso un senso di urgenza per aggirare il pensiero critico. Se un'istruzione sembra pressante, rallenta.
  • Agisci in base agli avvisi dei fornitori di app. WhatsApp ha contattato proattivamente gli utenti colpiti. Se un servizio che utilizzi ti contatta riguardo a un problema di sicurezza, prendilo sul serio e segui le loro indicazioni.

La lezione più ampia di questo episodio è che la sicurezza non è qualcosa che una singola applicazione può garantire completamente al posto tuo. Rimanere al sicuro richiede abitudini, non solo strumenti. Sapere da dove proviene il proprio software e mantenere un atteggiamento critico quando qualcosa non sembra giusto resta una delle difese più efficaci a disposizione di qualsiasi utente.