WhatsApp invita ad aggiungere la mail al proprio account: vantaggi e rischi futuri

Meta sta lanciando molte novità per WhatsApp per rafforzare la sicurezza sull’app di instant massaging.

L’ultima in ordine temporale, dopo il consiglio di introdurre un PIN di sicurezza alle chat, riguarda l’invito rivolto agli utenti dell’app di messaggistica istantanea di aggiungere la mail al proprio account per recuperarlo in caso di necessità, “anche senza connessione per gli SMS o telefonate”.

“Una buona notizia in termini di continuità di accesso e operativa, soprattutto considerando che i casi di sim swapping sono sempre più frequenti”, commenta Riccardo Michetti, Cyber Threat Intelligence Manager di Maticmind.

Secondo Paolo Dal Checco, consulente informatico forense e Ceo della società Forenser, “da un lato aggiungere il proprio indirizzo di posta all’account WhatsApp” comporta alcuni indubbi vantaggi, per proteggersi dagli attacchi account takeover, ma c’è un risvolto della medaglia da valutare.

Ecco cosa implica questa mossa per le persone e qual è l’altro lato della medagla.

WhatsApp: perché richiede mail da aggiungere al proprio account

Con la spunta blu, il badge azzurro di account verificato che garantisce l’autenticità, è apparsa sui nostro account una chat a nome di WhatsApp (e non attribuita a numeri sconosciuti) con un messaggio che recita: “Aggiungi la tua e-mail per una maggiore sicurezza. Rendiamo il tuo account più sicuro. Se non riesci più ad accedere, per poterlo fare nuovamente in modo semplice e sicuro aggiungi e verifica il tuo indirizzo e-mail. Accedi a Impostazioni, tocca Account e scegli Indirizzo email”.

“Aggiungere il proprio indirizzo di posta all’account WhatsApp permette certamente di poterlo recuperare agevolmente in caso di problemi”, spiega Paolo Dal Checco, “rendendolo in un certo senso indipendente dal numero di telefono, dato che come dice Meta sarà possibile usare l’indirizzo e-mail verificato per accedere nuovamente al tuo account anche senza connessione per gli SMS o le telefonate“.

“Si procede sempre più veloci, in sostanza, alla separazione tra utenza elefonica e account WhatsApp, così come stanno facendo anche Telegram e Signal, i due concorrenti dell’app di messaggistica di Meta”, mette in evidenza Dal Checco: “L’email configurata non è visibile agli altri utenti – precisa Meta nel momento in cui si attiva la funzionalità – ma può essere utilizzata per recuperare il proprio account o accedere direttamente quando non si possono ricevere SMS o telefonate”.

Ridurre il rischio di accessi non autorizzati

Si tratta di “un segnale forte e chiaro. La sicurezza degli account, oggi, è percepita non solo come un diritto, ma come un valore aggiunto che le piattaforme devono garantire in modo tangibile”, sottolinea Raul Arisi, Cybersecurity Marketing Director per Maticmind.

Inoltre, “la nuova feature di WhatsApp è un passo logico se consideriamo che, ad oggi, il numero di telefono come unico vettore di accesso non è abbastanza in termini di sicurezza”, continua Michetti.

“L’introduzione del PIN per la verifica in due passaggi e dell’e-mail, per ricevere il codice OTP in fase di registrazione o ripristino dell’account, rappresenta un netto miglioramento nella protezione degli account WhatsApp. Queste funzionalità contribuiscono a ridurre il rischio di accessi non autorizzati, in particolare in caso di attacchi come il SIM swap o a seguito del furto del dispositivo”, aggiunge Fabio Soffietti, Senior GRC Consultant per Maticmind.

Come aggiungere la mail su WhatsApp

Il messaggio nella chat di WhatsApp contiene un link, per seguire una procedura accessibile solo da smartphone e non via WhatsApp Web.

Occorre cliccare Inizia dallo smartphone per selezionare la mail che intendiamo aggiungere, con la garanzia da parte di WhatsApp che “non è visibile agli altri”.

La schermata successiva contiene uno spazio con sei caratteri, dove le istruzioni ci invitano a completare la procedura immettendo un codice di verifica spedito alla mail scelta. Una volta inserito il codice, WhatsApp conferma che la mail selezionata è adesso verificata.

Dalla sezione Impostazioni del proprio account, alla voce del menu Indirizzo e-mail, è comunque possibile aggiungere l’indirizzo di posta utile per il recupero rapido dell’account.

“Ovviamente vanno considerati i due lati della medaglia, se da una parte questa funzionalità rende l’account più sicuro da attacchi ATO (Account Takeover) e più facile il recupero in casi di smarrimento o compromissione del telefono o SIM, dall’altra non possiamo non considerare degli aspetti che possono diventare problematici”, sottolinea Riccardo Michetti.

L’altra faccia della medaglia: i rischi cyber

Il primo rischio è sicuramente legato all’aumento inevitabile della superficie d’attacco. “Questa comodità può infatti aumentare la superficie d’attacco della nostra utenza WhatsApp e il rischio che possa essere compromessa”, mette in guardia Dal Checco: “l fatto di potersi autenticare anche senza avere a disposizione il nostro numero di telefono significa che chiunque riesca ad entrare nella nostra mailbox – magari attivando anche un inoltro dei messaggi provenienti da Meta – può teoricamente accedere al nostro account WhatsApp“.

Invece, “non configurare un indirizzo di posta certamente rende più difficile un eventuale recupero dell’account, ma fa sì che senza l’utenza telefonica (che possa ricevere una chiamata vocale o un SMS) non possa accedere né il legittimo proprietario né eventuali attaccanti. Immagino che l’accesso tramite mail attiverà notifiche e allerta in un eventuale profilo già connesso, così da avvisare l’utente dei tentativi di accesso come già avviene oggi quando un secondo account tenta di connettersi, ma non si hanno ancora evidenze in tal senso”, mette in guardia Dal Checco.

I test di Paolo Dal Checco sulla mail su WhatsApp

“Ho infatti condotto dei test per verificare come avviene l’accesso tramite email all’account WhatsApp“, continua Dal Checco, “ma al momento pare non sia ancora utilizzabile, pur potendo configurare un indirizzo di posta, vedremo più avanti come Meta implementerà la procedura e se questo renderà più vulnerabile un account con email di recupero configurata“.

“Tra l’altro, ho provato ad aggiungere un indirizzo di posta elettronica su diversi account di test, notando che se s’inserisce un account Gmail i messaggi con il codice di conferma non arrivano, pur cliccando più volte sul pulsante d’invio nuovo codice e avendo verificato che l’email non fosse finita nello spam. Probabilmente il messaggio che invita ad aggiungere una mail di sicurezza proprio account deve essere arrivato a oltre due miliardi di utenti WhatsApp, parte dei quali sta seguendo le istruzioni appesantendo quindi il sistema d’invio di Meta e si dovrà attendere del tempo prima che il protocollo di attivazione diventi efficiente“.

Mail su WhatsApp: un nuovo vettore d’attacco

Infatti, “l’email diventa un ulteriore punto che un attaccante può sfruttare, soprattutto tramite tecniche di social engineering come il phishing che, ad oggi, rimane uno dei vettori più utilizzati dagli attaccanti per compromettere account. Inoltre è importante considerare che, tipicamente, la mail personale viene utilizzata per la registrazione su diversi servizi e, raramente risulta protetta da sistemi di autenticazione a due fattori. Dunque è molto probabile pertanto che nel prossimo periodo osserveremo diverse campagne phishing a tema Whatsapp mirate a far ‘aggiornare’ la mail di riferimento, per esempio“, mette in guardia Michetti.

Infatti, “perché queste nuove funzionalità siano realmente efficaci e non si trasformino esse stesse in vettori di attacco, devono essere accompagnate da comportamenti consapevoli degli utenti“, ricorda Fabio Soffietti: “Attivare sempre la verifica in due passaggi con un PIN sicuro, associare un indirizzo email protetto da autenticazione a due fattori, non condividere mai PIN o codici OTP e verificare con attenzione l’autenticità di mittenti e messaggi, soprattutto se contenenti link o richieste sospette, rappresentano il minimo indispensabile per mantenere alto il livello di protezione dell’account”.

Le novità di WhatsApp: PIN e autenticazione a due fattori

In questi giorni, Meta bombarda gli utenti di novità e richieste. Di recente WhatsApp, sempre tramite l’account ufficiale, ha invitato i suoi utenti ad impostare un Pin sulle chat per blindare meglio gli account. Il procedimento richiede pochi passaggi. anche in questo caso il messaggio con video recita: “Aggiungi un ulteriore livello di sicurezza. Sapevi di poter impostare un PIN per rendere il tuo account WhatsApp ancora più sicuro? Attiva la verifica in due passaggi e raddoppia la protezione del tuo account”.

Il pulsante atterra su una pagina che dapprima richiede l’inserimento e la conferma di un PIN di sei cifre e poi richiede una mail per ottenere la verifica del proprio account. La 2FA o verifica in due passaggi protegge account contro furti o attacchi.

“Attivare l’autenticazione a più fattori (MFA)“, evidenzia Stefano Cinque, Cybersecurity Sales Specialist per Maticmind, “riduce significativamente il rischio che un attaccante, anche se in possesso del numero di telefono o del codice OTP, riesca a prendere il controllo dell’account. In particolare, l’uso dell’e-mail come mezzo di recupero e per confermare eventuali trasferimenti dell’account su altri dispositivi aggiunge un ulteriore livello di sicurezza. In scenari sempre più frequenti di smishing (SMS fraudolenti) e attacchi di ingegneria sociale, queste misure aiutano a contrastare accessi non autorizzati e l’utilizzo dell’account per truffare altri contatti. Senza MFA e una corretta configurazione dell’e-mail di recupero, basta poco per trasformare un’app di comunicazione in uno strumento di attacco“.

Per WhatsApp è l’inizio di un rapporto di fiducia

“Il fatto che anche realtà mainstream come WhatsApp spingano attivamente su strumenti come la verifica a due fattori con e-mail, dovrebbe far riflettere tutte le aziende – specialmente chi lavora con dati sensibili o gestisce esperienze ad alto tasso di fiducia”, sottolinea Raul Arisi: “La sicurezza, oggi, è parte integrante dell’esperienza utente. È ciò che fa la differenza tra una relazione di breve durata e una relazione fondata sulla fiducia”.

I messaggi di WhatsApp

Si assiste a un crescente utilizzo di messaggi in-band da parte dei fornitori di servizi di instant messaging per la comunicazione di notifiche legate alla sicurezza degli account.

Secondo Giovanni Del Panta, Responsabile Cybersecurity Architects per Maticmind, “Come già accade su piattaforme quali WhatsApp, tali comunicazioni riguardano frequentemente l’introduzione di misure di protezione quali l’impostazione di PIN per le chat o la predisposizione di canali multipli di autenticazione volti a facilitare operazioni amministrative, per esempio il recupero dell’account”.

“Pur potendo inizialmente suscitare reazioni di diffidenza negli utenti, l’autenticità di tali messaggi è generalmente verificabile attraverso i meccanismi di sicurezza offerti dalle stesse piattaforme, qualora adeguatamente implementati”, avverte Giovanni Del Panta: “Permane tuttavia un divario rilevante tra le piattaforme impiegate in contesti aziendali — caratterizzate da controlli centralizzati, politiche strutturate di gestione delle identità e monitoraggio continuo degli accessi — e quelle destinate al mercato consumer, dove la responsabilità della protezione ricade prevalentemente sull’utente finale“.

Secondo Del Panta, “dal punto di vista percettivo, l’utilizzo quotidiano di tali strumenti, spesso per comunicazioni considerate effimere o di natura occasionale, induce gli utenti a focalizzarsi maggiormente sulla riservatezza percepita dei contenuti, confidando nella presenza di meccanismi quali PIN e crittografia end-to-end (E2E) come principali garanzie di sicurezza”.

“Come professionista del marketing, vedo in questa scelta un esempio illuminante di customer-centricity applicata alla sicurezza“, evidenzia Raul Arisi: “Non si tratta solo di offrire un secondo canale di accesso, ma di costruire un ulteriore layer di fiducia tra utente e servizio. In un contesto dove il phishing, il furto di identità e le truffe digitali sono sempre più sofisticate, proteggere la continuità dell’account e rafforzare i canali di autenticazione è una forma di cura del Cliente.”

Come proteggere le piattaforme

L’obiettivo di chi attacca, in questi casi, è sempre quello di leggere il contenuto delle chat di proprietà altrui.

“Per accedere o clonare il profilo e le chat di WhatsApp su un altro device, bisogna per forza essere in possesso del dispositivo principale con la SIM da cui poter delegare (autorizzazione) l’associazione ad altri dispositivi alla lettura delle chat, anche in fase di ripristino del backup”, spiega Giuseppe Carazzina, Technical Enabler per Maticmind.

“Aver introdotto il PIN e la mail di sblocco del PIN è stato di sicuro un improvement importante a livello di verifica dell’identità della persona proprietaria delle chat. Questo però non garantisce l’infallibilità della protezione in quanto utilizzando un’account e-mail come fattore di verifica e ripristino del PIN, può comunque essere non affidabile in quanto facilità l’esposizione alla modifica del PIN qualora le credenziali dell’account mail fossero compromesse o condivise (famiglia / lavoro) e si volesse accedere all’account Whatsapp del malcapitato”, continua Giuseppe Carazzina: “Sarebbe opportuno impostare un account mail dedicato a tale scopo, qualora l’importanza delle chat la si reputi strategica, su una piattaforma di posta considerata sicura a sua volta”.

Che aggiunge: “Il PIN e la mail rafforzano quindi la protezione di furto delle chat nel caso di nuova registrazione o di clonazione della SIM. Confermo che la metodologia di verifica tramite PIN (e mail) non sia applicabile nel caso in cui il telefono venga rubato e ci sia il tentativo di decifrare direttamente il database interno delle chat, tramite rooting del telefono stesso“.

Come blindare WhatsApp in maniera professionale

In realtà, la protezione complessiva dei dati trattati da tali piattaforme “implica una molteplicità di fattori ulteriori”, continua Del Panta, “tra cui:

• affidabilità delle politiche di backup: la mancata cifratura E2E dei backup cloud rappresenta un punto di vulnerabilità rilevante;
• integrità degli endpoint: la compromissione dei dispositivi di accesso vanifica le protezioni applicative presenti.;
• assenza di sistemi centralizzati di gestione delle credenziali: la mancanza di soluzioni strutturate di vaulting incrementa il rischio di esposizione accidentale dei dati sensibili;
• implementazione non sistematica di autenticazione multifattore (MFA): l’adozione incompleta di MFA per attività critiche limita la resilienza del sistema;
• gestione out-of-band dei processi amministrativi: la carenza di procedure sicure per la gestione dei recovery espone gli utenti a potenziali attacchi basati su tecniche di social engineering”.

Alla luce di tali considerazioni, “risulta evidente come le politiche di sicurezza delle piattaforme di instant messaging debbano evolversi verso un approccio integrato e sistemico, volto a garantire la protezione delle informazioni lungo l’intero ciclo di vita dei dati e non esclusivamente durante il loro transito“, mette in risalto Giovanni Del Panta.

Le altre recenti richieste di Meta

Inoltre è giunta quella per concedere il permesso di usare i dati per il training di AI oppure opporsi all’uso dei dati.

Quindi gli utenti hanno ricevuto un messaggio per introdurre la pubblicità su Whatsapp, inserendo la pubblicità negli Aggiornamenti, e in questo caso, in Europa, rischia di aprire un nuovo contenzioso sulla UE, non essendo conforme al Digital Markets Act (DMA) e il GDPR.