È stato un tweet di Eli Gary, esperto e sviluppatore di software per la sicurezza informatica in California, a scovare una vulnerabilità al phishing presente su Android. Si tratta di una questione molto grave perché riguarda la posta elettronica e PayPal. In particolare, si tratta di un attacco di tipo spoofing, ma spieghiamo nel dettaglio di cosa si tratta.
Phishing e spoofing: cosa significano e quanto sono pericolosi
Queste due parole sono spesso usate anche nel linguaggio di tutti i giorni, soprattutto quando vengono comunicate notizie di attacchi informatici. Cerchiamo di capire, in breve e con parole semplici, di cosa si tratta. Partiamo dal phishing, si tratta di una vera e propria truffa realizzata tramite Internet.
Solitamente viene inviata una mail falsa in cui vengono chieste informazioni sensibili alla vittima della truffa, come i dati personali o della carta di credito. Si riconoscono dal “formato standard” con cui vengono inviate, ad esempio: “Abbiamo notato che il tuo account non è più funzionante, clicca qui per reimpostare i tuoi dati”.
Passiamo ora allo spoofing, possiamo dire che è “lo step successivo” del phishing. Si tratta di un attacco informatico che sfrutta le informazioni ottenute con il phishing e ha lo scopo di rubare l’identità della vittima, per operare online a nome della stessa. Ad esempio si utilizza per accedere a informazioni riservate a una persona specifica oppure per diffondere delle fake news a nome della vittima.
I dettagli sulla vulnerabilità scoperta su Android
L’attacco descritto da Eli Gary è un classico tentativo di phishing che poi prosegue con il furto di dati personali. Inizialmente l’utente riceve una mail dall’indirizzo “donations@unicef.org” in cui viene richiesto di cliccare su un collegamento. Una volta che l’utente clicca sul link compare la finestra classica di Android che permette di selezione l’app con cui aprire il link, tra cui PayPal. In realtà, i soldi non vengono ricevuti dall’indirizzo da cui viene inviata la mail iniziale, ma da scammer@spoofing.net. Oltre al denaro, i pirati informatici sono anche in grado di ottenere i dati personali da cui proviene la donazione e procedere con lo spoofing.
On an Android device with PayPal installed: Clear your default email app, follow this link, and select "Open with PayPal": https://t.co/JCEIWVvs5Y
The PayPal app will say that you're sending money to donate@unicef.org but you're actually sending money to a fake phishing address. pic.twitter.com/H0DSaLNXqu
— Eli Grey (@sephr) July 13, 2018
La vulnerabilità è già stata comunicata a PayPal che ha confermato che si tratta di una truffa. La stessa è pericolosa non solo per Android e l’app Gmail, ma anche per macOS, Outlook e Samsung Email. Vi invitiamo a fare attenzione fino a quando PayPal e i servizi di posta elettronica non bloccheranno l’arrivo della mail truffa.