Twitter: attenzione alle truffe via SMS

Come accaduto spesso negli ultimi mesi, dopo l’avvento di Elon Musk alla guida di Twitter si sono susseguite una serie di novità operative della piattaforma che, oltre a causare un certo scalpore, hanno anche creato un po’ di allarme dal punto di vista della sicurezza. Questo si riferisce, per chiarezza, non alla stessa piattaforma quanto alla possibilità di sfruttamento di alcune delle nuove policy da parte degli hacker, che infatti hanno iniziato a lanciare campagne phishing per prendere possesso degli account.

Anche il caso che andiamo a raccontare fa parte di questi problemi, poiché qualche giorno fa la società Twitter ha annunciato che a partire dal 20 di marzo le verifiche degli accessi tramite OTP via SMS diventeranno a pagamento. Questo significa che gli utenti premium della piattaforma, che passeranno alla versione rinominata Blue, saranno gli unici a godere dell’opzione via SMS, mentre gli altri dovranno abilitarla via app e non più tramite messaggio.

Il problema in questi casi è l’adattamento di coloro che non sono perennemente aggiornati sulle nuove policy, che saranno chiaramente i più esposti ad eventuali campagne malevole. La stessa azienda, in un tweet ha invitato coloro che non sono utenti a pagamento a disattivare l’autenticazione multifattore con SMS, ma se non lo rimuoveranno a favore di OTP via App, come Google Authenticator, o della chiave di sicurezza, rimarranno con la sola password a proteggere il proprio account, perdendo la multifattorialità.

Solitamente, gli esperti di cybersecurity sconsigliano la cessazione forzata di qualsiasi sistema a due fattori, soprattutto in un mondo in cui ancora moltissime persone faticano a comprenderne l’importanza evitando di ricorrervi, visto che solo su Twitter viene utilizzata dal 2,6% degli utenti totali. Sembra poi che tre quarti di questi utenti, che sarebbero circa 34 milioni, utilizzano proprio l’SMS come secondo fattore, ovvero 25 milioni di persone che a fine marzo, senza un’azione specifica di modifica, non avranno più questa forma di protezione. Ovviamente questa azione, come detto in apertura, presta pure il fianco ad attacchi phishing mirati all’inserimento di credenziali in false maschere di login una volta che l’autenticazione via SMS verrà dismessa. In questo modo l’accesso sarà indiscriminato e gli account verranno irrimediabilmente compromessi causando potenzialmente molti danni e perdite di dati.

Per rimediare è importantissimo che gli utenti di Twitter si colleghino prima del 20 marzo ai loro account e, passando dalle impostazioni di sicurezza, selezionino la voce Autenticazione a due fattori scegliendo poi l’App per l’autenticazione. La scelta tra diverse App è molto ampia, visto che oltre a quella di Google già citata ne esistono molte altre come Authy, Duo e Microsoft Auth, tutte utilizzabili da ogni tipo di sistema operativo e device.

 

Fonti: 1, 2