È una delle piattaforme di instant messaging (IM) più famosa e frequentata al mondo, ora di nuovo al centro di storie di false notizie e raggiri finanziari. Attualmente, WhatsApp, che è di proprietà di Facebook, conta più di 1,5 miliardi di utenti, oltre 1 miliardo di gruppi e 65 miliardi di messaggi inviati ogni giorno.
In una recente indagine di cybersecurity, è saltata fuori una nuova falla che “permetterebbe a un criminale informatico di intercettare e manipolare i messaggi inviati all’interno dei gruppi di discussione o delle chat private”.
Gli hacker, quindi, potrebbero a detta dei ricercatori sfruttare questa vulnerabilità “non solo dirottando la conversazione a loro vantaggio, ma anche creando e diffondendo fake news”.
Le conseguenze della vulnerabilità possono essere diverse e comportare altrettante azioni da parte dei cyber criminali, tra cui: sostituire la vera risposta di un utente con un’altra puramente inventata; citare un messaggio mentre si risponde in un gruppo così da farlo apparire come se provenisse da una persona che non fa nemmeno parte del gruppo; inviare un messaggio a un membro di un gruppo, sotto forma di un messaggio di gruppo, ma che di fatto viene inviato solo a un destinatario.
Le conseguenze reali?
Il criminale manipola il testo di una risposta così da fornirne una che potrebbe essere di grande beneficio per lui. Oppure, i criminali informatici potrebbero diffondere informazioni errate su un determinato prodotto e causare così gravi danni anche d’immagine a un’azienda.
Gli hacker, infine, potrebbero trarre in inganno i membri di un gruppo inducendoli a svelare segreti di qualsiasi tipo e informazioni riservate a loro insaputa.
Altra vulnerabilità, stavolta scoperta da Eset, riguarda la cyber sicurezza generale della piattaforma, con il rischio concreto per molti degli iscritti della piattaforma di IM di aprire messaggi truffa finalizzati, come sempre, al sottrarre risorse finanziarie alle sfortunate vittime.
Con il messaggio ambiguo e falso di “insegnare a clonare gli account degli altri utenti e vedere il contenuto dei messaggi che mandano e ricevono”, la vittima spinta dalla curiosità risponde a tutti gli imput fino a quando finisce per attivare, probabilmente inconsapevolmente, un servizio SMS a pagamento che consuma il credito dello smartphone.
Facendo leva non solo sulla curiosità, ma soprattutto su altri sentimenti più forti, come gelosia e invidia, i cyber criminali fanno cadere l’utente nel tranello e allo stesso tempo lo obbligano a condividere il messaggio delle finte istruzioni per clonare un account con tutti i suoi contatti, favorendo in definitiva la diffusione del malware.
Ogni SMS ci può scalare fino a 5 dollari dal credito e ne possono partire più di uno contemporaneamente.