Whatsapp è una delle migliori app di messaggistica multipiattaforma, disponibile per la maggior parte dei dispositivi come smartphone e tablet. Ha cambiato per sempre il modo di inviare messaggi di testo,  gestendo oltre 60 miliardi di messaggi al giorno secondo stime recenti .

 

WhatsApp e Sicurezza.

Quando è stato lanciato, WhatsApp era tristemente noto per la sua mancanza di sicurezza, in quanto venivano segnalate numerose vulnerabilità e bug. Tra l’altro, impiegava una crittografia debole per gestire i messaggi. Ma questo è il passato, ora hanno escogitato misure di sicurezza avanzate, come la “End To End Encryption”, annunciata di recente. Secondo questa nuova funzionalità, il messaggio di WhatsApp viene crittografato e solo il mittente e il destinatario potranno leggerne il contenuto. Persone esterne come il governo, le agenzie di spionaggio o addirittura gli stessi proprietari di WhatsApp (Mark Zuckerberg, ovviamente) non possono leggere i messaggi inviati. WhatsApp ha anche un’opzione per verificare se due connessioni sono correttamente crittografate.

 

Quindi WhatsApp è sicuro?

La risposta è no. Tecnicamente nulla è sicuro al 100%, ma considerando le misure precauzionali che WhatsApp sta adottando per garantire la privacy e la sicurezza, c’è da dire che è piuttosto sicuro. Tuttavia bisogna considerare le truffe, gli hacker, gli attacchi di phishing ecc. che rendono tutte le misure di sicurezza inefficaci. Pochi mesi fa, WhatsApp ha introdotto la tanto attesa interfaccia web grazie alla quale WhatsApp può essere utilizzato su PC. Questo ha messo così fine a tante truffe e campagne di spam, che ingannavano gli utenti offrendo una versione per PC di WhatsApp fittizia.

 

Hackerare WhatsApp Tramite un Attacco Phishing.

È stato sviluppato un nuovo vettore di attacco phishing, contro gli utenti di WhatsApp, che consente a chiunque di hackerare WhatsApp tramite un attacco phishing. WhatsApp Web aiuta a replicare l’app su PC, nel browser e praticamente funziona in questo modo: si apre il webcliet in un browser e si scansiona il codice QR generato da WhatsApp tramite telefono/dispositivo. Questo sincronizza il whatsapp del telefono con il PC; tutte le chat, i gruppi, le chiamate, tutto diventa disponibile. Lo script di phishing di WhatsApp praticamente automatizza questo processo in pochissimo tempo, in un attacco che viene chiamato QRLJacking.

 

Come Funziona WhatsApp Phishing.

Il programma phishing di WhatsApp (whatshack) utilizza strumenti di scripting dei browser, per comunicare con il client Web di Whatsapp. Il programma avvia un server http e un server socket. Se un nuovo cliente si connette a socket.io, l’applicazione effettuerà una richiesta a un’istanza di selenium per avviare un nuovo browser e connettersi a web.whatsapp.com.

 

Questo programma farà quanto segue:

 

  • Estrarre il codice QR da WhatsApp Web e postarlo sul sito di phishing controllato da un hacker.
  • Costringere i visitatori a scansionare il codice QR da WhatsApp sul telefono, offrendo in cambio qualcosa di allettante.
  • Dopo aver eseguito la scansione e l’autenticazione, gli hacker ottengono l’accesso completo al WhatsApp dell’utente.
  • Questo fornisce agli aggressori il pieno controllo dei dati di WhatsApp, che includono i registri di chat, gruppi, gli elenchi dei contatti, l’invio di messaggi al posto dell’utente a chiunque e praticamente qualsiasi cosa che anche il vero utente di WhatsApp può fare.

 

Installazione e Configurazione di WhatsApp Phisher.

 

Il programma hack di WhatsApp richiede il server Selenium Standalone e il browser Firefox. Prima di tutto assicurati che siano entrambi installati.

 

Conclusione:

Gli utenti devono essere consapevoli che la crittografia da sola non garantirà mai la sicurezza di WhatsApp. Sono le campagne di truffa e phishing come queste di cui gli utenti dovrebbero preoccuparsi. Una crittografia debole può lasciare i messaggi aperti per essere letti da terzi, ma attacchi come questo danno il pieno controllo dell’account di WhatsApp agli hacker. Ciò è molto più grave in quanto l’hacker può fare seri danni con questi semplici trucchi. WhatsApp dovrebbe fornire protezione avanzata anche contro questi tipi di truffe phishing.