Un messaggio all’apparenza innocuo, che sembra provenire direttamente dal team di assistenza di Signal o WhatsApp. Ti avvisa di una possibile fuga di dati, di un tentativo di accesso sospetto al tuo account, di un’attività anomala che richiede la tua immediata attenzione. La soluzione proposta appare semplice: seguire una procedura di autenticazione, condividere un codice di verifica ricevuto via SMS. Ma dietro quella richiesta apparentemente legittima si nasconde una delle campagne di phishing più sofisticate degli ultimi mesi, orchestrata da cybercriminali filorussi e capace di compromettere gli account di funzionari pubblici, membri delle forze armate e giornalisti.
L’allarme è stato lanciato dai servizi di intelligence olandesi, l’AIVD e il MIVD, che hanno pubblicato un’analisi dettagliata di questa operazione di cyberspionaggio su larga scala. La campagna colpisce in modo particolare gli utenti delle app di messaggistica crittografata Signal e WhatsApp, sfruttando la fiducia che gli utenti ripongono in questi strumenti considerati sicuri. La tecnica è tanto semplice quanto devastante: gli hacker si fingono il servizio di assistenza ufficiale dell’applicazione, creando un’illusione di autenticità che abbassa le difese della vittima. Come funziona concretamente questo attacco? I cybercriminali avviano una conversazione con l’utente target, presentandosi come il chatbot di assistenza o il team di supporto ufficiale. Il messaggio contiene riferimenti a minacce alla sicurezza dell’account: una possibile violazione dei dati, un tentativo di accesso non autorizzato da parte di terzi, un’attività sospetta che richiede verifica immediata. Per risolvere il problema, il finto operatore chiede all’utente di completare una procedura di autenticazione condividendo il codice di verifica a sei cifre ricevuto via SMS e, nel caso di Signal, anche il PIN di sicurezza dell’applicazione.
Una volta ottenute queste informazioni, i criminali hanno accesso completo all’account. Possono modificare il numero di telefono associato al profilo, sostituendolo con uno sotto il loro controllo, e da quel momento diventano di fatto i nuovi proprietari dell’account compromesso. Questo significa accesso all’intero elenco dei contatti, ai nuovi messaggi sia nelle conversazioni private che nelle chat di gruppo, e la possibilità di inviare messaggi a nome della vittima. In sostanza, un furto d’identità digitale in piena regola. La differenza tra Signal e WhatsApp rende l’attacco ancora più insidioso sulla seconda piattaforma. Su Signal, i criminali ottengono accesso solo ai messaggi futuri e ai contatti, mentre su WhatsApp riescono ad abusare della funzione Dispositivi collegati ,quella che consente di usare l’app su tablet o computer, ottenendo così l’accesso all’intera cronologia delle conversazioni. Un tesoro di informazioni per chi pratica spionaggio e cybercrime.
I servizi segreti olandesi hanno evidenziato che tra le vittime figurano personalità di elevato rango: funzionari governativi, personale militare, giornalisti. Persone che, per la natura del loro lavoro, gestiscono informazioni sensibili e riservate attraverso canali di comunicazione che ritengono protetti. Ed è proprio questa percezione di sicurezza a rendere l’attacco così efficace. Le app di messaggistica crittografata offrono protezione end-to-end contro intercettazioni tecniche, ma non possono difendere da un utente che, ingannato, consegna volontariamente le chiavi del proprio account. Signal ha reagito prontamente alle rivelazioni, pubblicando una serie di comunicazioni ufficiali sul proprio account X per rassicurare gli utenti. L’azienda ha chiarito che la crittografia e l’infrastruttura della piattaforma non sono state compromesse e rimangono solide. Gli attacchi, ha specificato Signal, sono stati eseguiti attraverso sofisticate campagne di phishing progettate per manipolare gli utenti, non per violare i sistemi di sicurezza dell’app. Il messaggio più importante arriva poi chiaro: il servizio di assistenza di Signal non avvierà mai alcun contatto tramite messaggi in-app, SMS o social media per richiedere codici di verifica o PIN. Qualsiasi comunicazione di questo tipo va considerata un tentativo di truffa.
Oltre alla tecnica del finto chatbot, i cybercriminali stanno sperimentando altre varianti. Cercano di spingere le vittime a scansionare QR code malevoli o a cliccare su link dannosi, sempre con l’obiettivo di ottenere il controllo degli account e accedere a informazioni riservate. In alcuni casi, gli hacker riescono a infiltrarsi nelle chat di gruppo attraverso link condivisi, ottenendo così accesso a conversazioni collettive che possono contenere discussioni strategiche o pianificazioni operative. Il viceammiraglio Peter Reesink, direttore del MIVD, ha lanciato un monito chiaro sulla questione: nonostante l’opzione di crittografia end-to-end, le app di messaggistica come Signal e WhatsApp non dovrebbero essere utilizzate come canali per informazioni classificate, riservate o sensibili. È un cambio di prospettiva significativo, che mette in discussione una pratica ormai diffusa tra professionisti, giornalisti e funzionari pubblici di tutto il mondo.
Le autorità olandesi hanno emesso un avviso dettagliato per informare i colleghi del governo della vulnerabilità e fornire assistenza nell’eliminazione della minaccia. Le raccomandazioni pratiche sono chiare: se si sospetta che un account in una chat di gruppo sia stato compromesso, è necessario chiedere all’amministratore di rimuoverlo immediatamente. Se vi sono indicazioni che lo stesso amministratore possa essere stato hackerato, l’unica soluzione sicura è abbandonare il gruppo e crearne uno nuovo. Questa campagna di phishing si inserisce in un contesto geopolitico di crescente instabilità, dove le operazioni di cyberspionaggio rappresentano uno strumento sempre più utilizzato per raccogliere intelligence e destabilizzare avversari. I cybercriminali legati al governo russo hanno già dimostrato in passato capacità tecniche sofisticate e una particolare attenzione verso obiettivi strategici in Europa e nel mondo occidentale.
La lezione che emerge da questa vicenda è duplice. Da un lato, nessuna tecnologia di sicurezza, per quanto avanzata, può proteggere completamente da attacchi che sfruttano l’ingegneria sociale e la manipolazione psicologica. Dall’altro, la fiducia cieca negli strumenti digitali può trasformarsi in una vulnerabilità critica quando non è accompagnata da una consapevolezza costante dei rischi e delle tattiche utilizzate dagli attaccanti. Per proteggersi, gli utenti devono sviluppare un sano scetticismo verso qualsiasi richiesta di informazioni sensibili, anche quando sembra provenire da fonti autorevoli. Nessun servizio legittimo chiederà mai di condividere codici di verifica o PIN attraverso messaggi diretti. E quando un messaggio sembra troppo urgente, troppo allarmante, troppo pressante, è probabilmente il momento di fermarsi, riflettere e verificare attraverso canali ufficiali alternativi prima di compiere qualsiasi azione.
