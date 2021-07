Con il rapido progredire della campagna vaccinale in Italia e nel resto d’Europa si discute con sempre maggior frequenza della possibilità di utilizzare il Green Pass per ritornare a viaggiare in sicurezza.

Il Green Pass è una certificazione in formato digitale e stampabile, emessa dalla piattaforma nazionale del ministero della Salute, che contiene un Qr Code per verificarne autenticità e validità.

Il codice raccoglie informazioni sullo stato delle vaccinazioni cui i cittadini si sono sottoposti (per chi fosse interessato alle codifica dei dati suggerisco un interessante articolo di Roberto Pezzali) e include le seguenti informazioni sui cittadini:

Nome e cognome

Data della vaccinazione

Numero di dosi effettuate

Tipo del vaccino somministrato

Una volta compreso quali informazioni sono memorizzate nel Qr Code del Green Pass e come sono codificate è facile rendersi conto di quanto sia stupido condividere il codice sui social. Stiamo in pratica regalando nostre informazioni ai malintenzionati che potrebbero usarle in attacchi contro di noi.

Se condividiamo su un social network come TikTok, Instagram, Facebook o LinkedIn l’immagine del Green Pass divulgheremo le informazioni di cui sopra oltre a quelle pubbliche del nostro profilo social.

Questi dati possono essere utilizzati per attacchi di phishing volti a indurci a fornire ulteriori informazioni. Una mail di phishing, per esempio, potrebbe essere confezionata con i nostri dati per richiederci ulteriori informazioni, per esempio le nostre credenziali Google, per accedere a un sito dal quale scaricare una versione aggiornata del Green Pass oppure false indicazione sull’uso del certificato per viaggiare.

Le mail potrebbero inoltre includere allegati malevoli che una volta aperti potrebbero dare il via al processo di infezione dei nostri telefoni e computer.

Credetemi, le possibili modalità di attacco sono limitate solo dalla fantasia dei criminali.

La disponibilità di informazioni come il numero di telefono, che possono essere derivate dall’accesso ai profili social, apre inoltre la strada ad altre tipologie di attacco.

Gli attaccanti potrebbero utilizzare la conoscenza del nostro numero di telefono per inviarci link malevoli attraverso applicazioni di instant messaging come WhatsApp, oppure per attacchi di vishing (attacchi di ingegneria sociale effettuati tramite servizi di telefonia).

Abbiamo quindi compreso quanto sia rischioso condividere il nostro Green Pass sui social network, ma vediamo quali possono essere altri modi ingegnosi che i criminali informatici sfruttano per attaccarci.

Proprio l’interesse attorno al Green Pass potrebbe essere sfruttato per invitare le vittime a scaricare un particolare lettore di Qr Code che in realtà contiene un codice malevolo in grado di infettare i nostri smartphone.

Ancora, potrebbero osservarsi campagne di phishing che invitano i destinatari delle e-mail a controllare le informazioni presenti in un Qr Code incluso nei messaggi di posta elettronica. Peccato che scansionando il codice si venga rediretti a pagine costruite per sfruttare falle nel nostro browser oppure per indurci a fornire ulteriori informazioni.

Utilizzare Qr Code contenenti link a pagine malevoli consente di bypassare molti dei sistemi di protezione della posta elettronica.

Il consiglio è quello di evitare di scansionare Qr Code che ci giungano da e-mail non sollecitate, dai canali social, o attraverso servizi di instant messaging come WhatApp o Signal.

E che dire della truffa veicolata attraverso messaggi WhatsApp che utilizza il Green Pass come esca? L’allarme è stato lanciato dalla polizia Postale e mette in guardia gli utenti da messaggi contenenti un link che dovrebbe consentire il download del Green Pass: “In questo link puoi scaricare il certificato verde Green Pass COVID-19 che ti permette liberamente di muoverti in tutta Italia senza mascherina”, recita il messaggio.

Tuttavia, cliccando sul link si viene indirizzati su una finta pagina del servizio sanitario che richiede di inserire i propri dati personali o bancari.

Anche in questo caso l’invito è quello di essere vigili e di verificare l’autenticità delle fonti da cui ci arrivano i messaggi.

Inoltre, sappiate che non vi verrà richiesta alcuna informazione personale o finanziaria per accedere al Pass.

L’invito è quello di segnalare qualunque attività fraudolenta o sospetta alla polizia Postale.

Infine non possiamo non citare la presenza di falsi Green Pass sul Dark Web. Alcuni gruppi criminali hanno cominciato a offrire falsi certificati utili a coloro che non intendono vaccinarsi o che sono impossibilitati a farlo per tempo in previsione di un viaggio.

Nei giorni scorsi, grazie a una inchiesta del Nucleo speciale tutela privacy e frodi tecnologiche della guardia di Finanza e della Procura di Milano, sono stati individuati diversi canali Telegram utilizzati per proporre falsi vaccini e Green Pass.

Il pacchetto offerto dai criminali nel caso di Green Pass include il Qr Code contenente falsi dati identificativi del vaccinato e informazioni circa il lotto usato per entrambi le dosi. Sono disponibili anche falsi certificati per presunte vaccinazioni all’estero. I prezzi variano dai 100 ai 150 euro.

Ricordiamo a tal proposito che è reato acquistare falsi certificati e che comunque la probabilità di essere vittima di una truffa è elevatissima: chi acquista un falso certificato rischia una condanna sino a 6 anni di carcere e l’imputazione per truffa o ricettazione.

Vacciniamoci tutti, e in guardia dai pericoli della Rete!