Insights, Magazine

SOCIAL ENGINEERING E DISPOSITIVI MOBILI: MAI ABBASSARE LA GUARDIA

Pubblicato il da Maria Acri
SOCIAL ENGINEERING E DISPOSITIVI MOBILi app social

 

SOCIAL ENGINEERING E DISPOSITIVI MOBILI: PERCHÉ OGGI PIÙ CHE MAI NON POSSIAMO ABBASSARE LA GUARDIA

Negli ultimi mesi abbiamo visto crescere campagne di phishing che sfruttano WhatsApp in modo estremamente efficace, perché colpiscono il punto più delicato di ogni difesa: la fiducia. Il messaggio arriva da un contatto conosciuto, magari presente in rubrica, e ci chiede di “votare una bambina in un concorso”, di sostenere un’amica, oppure di aiutare con urgenza per un piccolo pagamento. In Italia, Polizia Postale e CERT-AGID hanno segnalato proprio queste dinamiche: link a pagine di voto fasulle, richiesta del numero di telefono e del codice SMS, oppure richieste di denaro inviate da account già compromessi.

Il punto chiave, però, è questo: per fare danni non serve sempre compromettere l’intero smartphone. Spesso basta sottrarre il controllo dell’account WhatsApp o mantenere aperte sessioni attive su WhatsApp Web o su dispositivi collegati, così da usare la rubrica della vittima come moltiplicatore dell’attacco. Ed è proprio qui che il phishing su mobile diventa particolarmente insidioso: il messaggio non arriva da uno sconosciuto, ma da qualcuno di cui ci fidiamo.

Per questo la prima contromisura resta semplice, ma decisiva: verificare sempre che il messaggio sia davvero stato inviato dalla persona che ci aspettiamo. Se la richiesta è insolita, urgente, emotiva o riguarda denaro, dati, link o codici, non bisogna rispondere d’impulso nella stessa chat. Occorre fermarsi, interrompere il contatto, e validare la richiesta con una telefonata o con un canale diverso. È una regola elementare, ma oggi è una delle più efficaci.

In CyGo noi di Teleconsys, crediamo che questo fenomeno ci dica una cosa molto chiara: il mobile non è più un perimetro secondario. Nella borderless enterprise, lo smartphone è a tutti gli effetti un endpoint aziendale. NIST sottolinea che i dispositivi mobili sono ormai presenze permanenti nelle organizzazioni, utilizzati per accedere a reti e sistemi moderni e per trattare dati sensibili. E l’ENISA, nel suo Threat Landscape 2025, indica il phishing come vettore di intrusione dominante in oltre il 60% dei casi osservati.

Ecco perché l’awareness, da sola, non basta più. Serve, certamente. Ma deve essere accompagnata da una strategia concreta di governo e protezione del mobile. Nello scenario BYOD, NIST evidenzia che entrano in gioco nuovi rischi di sicurezza e di privacy, e che le soluzioni pensate per dispositivi solo corporate non sono sufficienti. Il NCSC britannico aggiunge che, proprio nei contesti BYOD, la combinazione di MDM e MAM può aiutare a isolare applicazioni e dati di lavoro da quelli personali, riducendo anche il rischio di perdita dati.

Tradotto in termini operativi: dobbiamo separare sempre il contesto privato da quello aziendale, governare compliance e aggiornamenti, controllare le app autorizzate, monitorare lo stato dei dispositivi e poter intervenire rapidamente in caso di incidente. Non possiamo più proteggere soltanto le postazioni di lavoro tradizionali e lasciare scoperto il dispositivo che oggi concentra identità digitali, MFA, posta, collaboration, accesso al cloud e conversazioni di business.

Sul piano pratico, alcune misure dovrebbero essere non negoziabili: attivare la verifica in due passaggi su WhatsApp, usare sempre l’app ufficiale, controllare i dispositivi collegati e le sessioni attive, aggiornare regolarmente sistema operativo e app, e segnalare tempestivamente ogni anomalia al team IT o Security. WhatsApp raccomanda esplicitamente la verifica in due passaggi, l’uso dell’app ufficiale e mette in evidenza avvisi proattivi sulla sicurezza in presenza di tentativi di accesso sospetti.

Il phishing su WhatsApp non è una moda passeggera: è l’evoluzione naturale di un attacco che oggi sfrutta relazione, contesto e velocità. E quando il vettore è il mobile, il confine tra sfera personale e

sfera aziendale diventa sottilissimo. Per questo il messaggio che dobbiamo continuare a ripetere, dentro e fuori le organizzazioni, è uno solo: MAI abbassare la guardia.

Teleconsys può supportare le organizzazioni nella definizione di percorsi di Mobile Security, MDM e MAM, per governare i dispositivi mobili, separare il contesto privato da quello aziendale e trasformare il mobile da punto cieco a punto di controllo e senza rinunciare ai vantaggi del lavoro in mobilità e il vantaggio competitivo e di tempo che ormai da anni utilizziamo senza neanche pensare a quante informazioni sensibili e falle di sicurezza introduce.

 

Mirko Leanza
CISO Teleconsys SpA

Lascia un commento