Truffa via SMS in Europa e Stati Uniti: come i servizi segreti russi hanno rubato credenziali di messaggistica

Le truffe che arrivano tramite SMS sono tra gli attacchi informatici più diffusi e, secondo le autorità ucraine, sono state sfruttate anche dai servizi segreti russi per compromettere account di messaggistica di alto profilo. La campagna, scoperta dal Servizio di Sicurezza dell’Ucraina (SSU) in collaborazione con l’FBI statunitense, ha preso di mira funzionari governativi, militari, politici e attivisti non solo in Ucraina, ma anche in Europa e negli Stati Uniti. L’obiettivo dichiarato è l’accesso a informazioni sensibili di carattere militare, politico ed economico, oltre al furto di dati personali. Gli attaccanti hanno inviato messaggi SMS che si spacciano per bot di supporto delle piattaforme di messaggistica, invitando gli utenti a fornire le proprie credenziali di accesso. La portata dell’operazione suggerisce un’azione coordinata e prolungata nel tempo, con un impatto potenzialmente devastante per la sicurezza delle comunicazioni di individui e organizzazioni.

Questa campagna non si limita a obiettivi istituzionali. Secondo l’SSU, anche account personali di cittadini ucraini sono stati presi di mira, evidenziando come la minaccia sia trasversale e colpisca sia figure pubbliche che semplici utenti. Sebbene l’agenzia non abbia attribuito esplicitamente la campagna a un gruppo specifico di hacker, analisti di settore hanno rilevato somiglianze con attività attribuite a cluster di minaccia russi noti come Star Blizzard, UNC5792 (anche noto come UAC-0195) e UNC4221 (noto come UAC-0185). Questi gruppi sono stati in passato collegati ad attacchi mirati contro utenti di Signal e WhatsApp, piattaforme che, per loro natura, gestiscono comunicazioni crittografate e spesso sensibili. La capacità di compromettere account di questo tipo rappresenta un rischio elevato, poiché consente agli attaccanti di intercettare comunicazioni private, accedere a dati riservati e persino impersonare le vittime per diffondere disinformazione o lanciare ulteriori attacchi.

Come funzionava la truffa: l’ingegneria sociale al centro dell’operazione

Il vettore di attacco principale utilizzato in questa campagna è stato l’SMS phishing, noto anche come smishing. Gli attaccanti hanno inviato messaggi che apparentemente provenivano dal supporto tecnico di piattaforme di messaggistica come Signal o WhatsApp. I messaggi invitavano gli utenti a cliccare su un link o a rispondere con informazioni sensibili, come codici di conferma, PIN, password o chiavi di recupero account. La tecnica sfrutta la fiducia che gli utenti ripongono nei servizi di messaggistica e la fretta con cui spesso vengono gestite le comunicazioni quotidiane. In molti casi, i messaggi erano formulati in modo da creare un senso di urgenza, ad esempio avvisando l’utente di un presunto tentativo di accesso non autorizzato al proprio account.

Una volta ottenute le credenziali, gli attaccanti potevano accedere direttamente agli account delle vittime, leggere le conversazioni, rubare dati personali e persino utilizzare gli account compromessi per diffondere ulteriori attacchi. Secondo quanto riportato dall’SSU, l’obiettivo non era solo quello di raccogliere informazioni, ma anche di manipolare le comunicazioni per seminare disinformazione o lanciare campagne di discredito. Questo tipo di attacco è particolarmente insidioso perché, una volta compromesso un account, l’attaccante può sfruttarlo per colpire anche i contatti della vittima, ampliando così la portata dell’operazione. La campagna dimostra come, in un contesto di conflitto prolungato come quello tra Russia e Ucraina, la cybersicurezza non sia più solo una questione tecnica, ma anche strategica e geopolitica.

L’impatto su Europa e Stati Uniti: perché la minaccia è globale

Sebbene l’Ucraina sia stata il principale bersaglio di questa campagna, le autorità hanno segnalato che anche funzionari, militari e attivisti in Europa e negli Stati Uniti sono stati colpiti. Questo allarga notevolmente l’impatto potenziale dell’operazione, suggerendo che i servizi segreti russi stiano cercando di raccogliere informazioni non solo a livello locale, ma anche a livello internazionale. La presenza di vittime in diversi continenti indica che la campagna è stata pianificata con cura e ha coinvolto risorse significative. Inoltre, l’uso di piattaforme di messaggistica crittografata come Signal e WhatsApp rende ancora più difficile per le vittime accorgersi dell’attacco, poiché le comunicazioni appaiono sicure e private.

L’FBI, che ha collaborato con l’SSU nell’indagine, ha sottolineato come questa campagna sia parte di una strategia più ampia di attacchi informatici attribuiti ai servizi di intelligence russi. Secondo l’agenzia statunitense, tali operazioni mirano a compromettere account di applicazioni di messaggistica commerciale ad alto valore, con l’obiettivo di ottenere le chiavi di recupero dei backup degli utenti. Queste chiavi, se rubate, permettono agli attaccanti di accedere ai dati anche dopo un cambio di password o una disattivazione dell’account. La compromissione di account di questo tipo può avere conseguenze gravi, sia per la sicurezza nazionale che per la privacy degli individui.

I gruppi dietro gli attacchi: chi sono Star Blizzard, UNC5792 e UNC4221

Sebbene l’SSU non abbia attribuito ufficialmente la campagna a un gruppo specifico, analisti di settore hanno rilevato somiglianze con attività già note di cluster di minaccia russi. Tra questi, spiccano Star Blizzard, UNC5792 (noto anche come UAC-0195) e UNC4221 (noto anche come UAC-0185). Questi gruppi sono stati in passato collegati ad attacchi mirati contro utenti di Signal e WhatsApp, spesso utilizzando tecniche di phishing avanzato e ingegneria sociale. Star Blizzard, ad esempio, è noto per operazioni di spionaggio informatico che mirano a raccogliere informazioni strategiche, mentre UNC5792 e UNC4221 sono stati associati ad attacchi contro organizzazioni governative e militari.

Questi gruppi operano con un alto livello di sofisticazione, utilizzando tecniche che vanno dal phishing tradizionale all’impersonificazione di servizi di supporto, fino all’uso di malware personalizzati. La loro capacità di adattarsi alle contromisure delle vittime li rende particolarmente pericolosi. Inoltre, la collaborazione tra gruppi diversi suggerisce una struttura organizzata e ben finanziata, tipica delle operazioni condotte da servizi di intelligence statali. La presenza di questi gruppi in una campagna di questo tipo sottolinea come il cyberspazio sia diventato un campo di battaglia privilegiato per la raccolta di informazioni e l’influenza geopolitica.

Le contromisure consigliate: come proteggere i propri account

Davanti a una minaccia di questo tipo, è fondamentale adottare misure di sicurezza proattive. L’SSU ha pubblicato una serie di raccomandazioni per aiutare gli utenti a proteggere i propri account di messaggistica. Tra queste, spicca l’importanza di revisionare periodicamente le sessioni attive e disconnettere eventuali connessioni sconosciute. Questo permette di identificare tempestivamente accessi non autorizzati e di revocare l’accesso a dispositivi o applicazioni sospette. Un’altra misura cruciale è l’attivazione dell’autenticazione a due fattori (2FA), che aggiunge un ulteriore livello di sicurezza oltre alla password. L’uso di app di autenticazione come Google Authenticator o l’invio di codici via SMS può ridurre significativamente il rischio di accessi non autorizzati.

L’SSU consiglia inoltre di evitare di scansionare codici QR ricevuti da utenti sconosciuti, poiché questi potrebbero reindirizzare a siti malevoli o compromettere l’account. Allo stesso modo, è importante non condividere mai codici di conferma, PIN, password o chiavi di recupero, anche se richiesti da presunti servizi di supporto. Cliccare su link sospetti o aprire file provenienti da chat di dubbia provenienza rappresenta un rischio elevato, poiché potrebbe portare all’installazione di malware o al furto di dati. Queste semplici pratiche, se adottate su larga scala, possono ridurre notevolmente la superficie di attacco e proteggere sia gli utenti individuali che le organizzazioni.

Il contesto più ampio: attacchi in Ucraina e minacce globali

La campagna di phishing scoperta in Ucraina non è un episodio isolato, ma si inserisce in un contesto più ampio di attacchi informatici attribuiti a gruppi allineati alla Bielorussia e alla Russia. Solo poche settimane prima, il CERT ucraino aveva attribuito a UNC1151 (noto anche come Ghostwriter o UAC-0057) una campagna di spear-phishing che prendeva di mira organizzazioni governative ucraine. In questo caso, gli attaccanti avevano utilizzato account compromessi per distribuire un malware chiamato OYSTERBLUES, un information stealer in grado di raccogliere dati sensibili dai sistemi infetti. Questi attacchi dimostrano come, in un contesto di conflitto prolungato, la cybersicurezza sia diventata un’arma strategica.

A livello globale, la minaccia rappresentata da gruppi di hacker legati a stati nazionali è in costante aumento. Questi gruppi non si limitano a colpire obiettivi militari o governativi, ma prendono di mira anche attivisti, giornalisti e semplici cittadini che potrebbero avere accesso a informazioni sensibili. L’uso di piattaforme di messaggistica crittografata come Signal e WhatsApp amplia ulteriormente il rischio, poiché le comunicazioni apparenti sono protette da crittografia end-to-end, ma l’anello debole rimane l’utente finale. In questo scenario, la formazione e la consapevolezza degli utenti diventano elementi chiave per contrastare la minaccia.

Cosa devono fare le organizzazioni: politiche di sicurezza e risposta agli incidenti

Per le organizzazioni, in particolare quelle che operano in settori sensibili come la difesa, la politica o l’economia, la minaccia rappresentata da campagne di questo tipo richiede un approccio strutturato alla sicurezza. È fondamentale implementare politiche di sicurezza che includano la revisione regolare delle sessioni attive, l’attivazione dell’autenticazione a due fattori e la formazione degli utenti per riconoscere i tentativi di phishing. Inoltre, le organizzazioni dovrebbero monitorare costantemente le attività sospette e avere un piano di risposta agli incidenti ben definito, in modo da poter reagire rapidamente in caso di compromissione.

Un altro aspetto cruciale è la gestione delle chiavi di recupero. Queste chiavi, se rubate, possono consentire agli attaccanti di accedere ai dati anche dopo un cambio di password. Le organizzazioni dovrebbero quindi limitare l’accesso a queste chiavi e assicurarsi che vengano memorizzate in modo sicuro. Inoltre, è importante educare i dipendenti a non condividere mai informazioni sensibili, anche se richieste da presunti servizi di supporto. La collaborazione con agenzie di sicurezza come l’FBI o il CERT può fornire un supporto prezioso nella risposta agli incidenti e nella condivisione di informazioni sulle minacce in corso.

Il futuro delle minacce: come evolvono gli attacchi informatici

La campagna di phishing via SMS scoperta in Ucraina rappresenta solo un esempio di come gli attacchi informatici stiano evolvendo per sfruttare le vulnerabilità umane e tecnologiche. Man mano che le piattaforme di messaggistica diventano sempre più sicure grazie alla crittografia e ad altre misure di protezione, gli attaccanti si concentrano sempre più sull’ingegneria sociale e sulle tecniche di phishing. Questo trend è destinato a continuare, con attacchi sempre più sofisticati che mirano a compromettere gli utenti finali, piuttosto che a sfruttare vulnerabilità tecniche.

Inoltre, la collaborazione tra gruppi di hacker legati a stati nazionali e attori criminali sta rendendo gli attacchi ancora più pericolosi. Questi gruppi possono condividere risorse, tecniche e informazioni, rendendo più difficile per le vittime e le organizzazioni difendersi. In questo scenario, la condivisione di informazioni sulle minacce e la collaborazione tra settore pubblico e privato diventano elementi essenziali per contrastare la minaccia. Le organizzazioni devono quindi adottare un approccio proattivo alla sicurezza, investendo in formazione, monitoraggio e risposta agli incidenti.

Conclusioni: la sicurezza passa dalla consapevolezza

La campagna di phishing via SMS attribuita ai servizi segreti russi rappresenta un campanello d’allarme per governi, organizzazioni e cittadini di tutto il mondo. L’uso di tecniche di ingegneria sociale per rubare credenziali di messaggistica dimostra come la sicurezza informatica non sia più solo una questione tecnica, ma anche strategica e umana. Per proteggersi, è fondamentale adottare misure di sicurezza proattive, come l’autenticazione a due fattori, la revisione delle sessioni attive e la formazione degli utenti. Inoltre, la collaborazione tra organizzazioni e agenzie di sicurezza può fornire un supporto prezioso nella risposta agli incidenti.

In un contesto in cui le minacce informatiche sono in costante evoluzione, la consapevolezza e la preparazione diventano gli strumenti più efficaci per difendersi. Gli utenti devono essere consapevoli dei rischi e adottare comportamenti sicuri, mentre le organizzazioni devono implementare politiche di sicurezza robuste e piani di risposta agli incidenti. Solo in questo modo sarà possibile contrastare efficacemente la minaccia rappresentata da campagne di phishing e attacchi informatici sempre più sofisticati.