AGI – Regola non scritta degli attacchi informatici: un po’ come nella pesca, si butta l’esca dove c’è qualcosa che possa abboccare. Le offensive colpiscono sfruttando gli interessi degli utenti, le notizie di attualità, le tendenze. Non sorprende allora che attorno a Clubhouse, il social network del momento, emergano alcuni pericoli. Non tanto per le sue caratteristiche quanto, appunto, per quella regola non scritta: dalle parti di Clubhouse ci sono parecchi pesci con le difese abbassate. E l’esca potrebbe funzionare.
Gli analisti di Kaspersky, società specializzata in sicurezza informatica, hanno infatti individuato “due rischi principali legati alla popolarità di Clubhouse: la vendita degli inviti e le applicazioni che imitano l’app legittima”. In entrambi i casi, si fa leva sull’interesse degli utenti che desiderano entrare nelle stanze del social.
Inviti in vendita
“Il primo scenario – afferma Denis Legezo, esperto di sicurezza di Kaspersky – è il più semplice e consiste nella monetizzazione su piccola scala”. Clubhouse permette l’iscrizione solo attraverso inviti, a disposizione di chi è già sulla piattaforma. Vista la calca all’ingresso, gli utenti che desiderano entrare sono molto di più degli inviti a disposizione. Come da legge della domanda e dell’offerta, questi lasciapassare hanno quindi acquisito valore. E qualcuno ha iniziato a venderli (o a fare finta di venderli). Nulla di contrario alle regole: Clubhouse ha immaginato il meccanismo come gratuito, ma nei termini di utilizzo non c’è un esplicito divieto di monetizzare gli inviti (anche perché dimostrare lo scambio di denaro sarebbe tutt’altro che semplice).
Su diversi canali sta quindi proliferando un mercato nero. Basta una ricerca su Google per veder comparire annunci che rimandano a eBay, con prezzi che vanno da 1 a 30 euro. Su Twitter, diversi account vendono inviti per 5-15 euro: chiedono, se interessati, di inviare un messaggio diretto e, nella maggior parte dei casi, di avere un account Paypal.
Denaro e dati: cosa si rischia
Su Reddit, alcune discussioni sono nate proprio allo scopo di scambiarsi inviti. La compravendita non è esclusa, a patto che sia reale. Uno dei thread più frequentati segnala infatti alcune “truffe” e indica (pur senza fornire prove) cinque utenti accusati di aver calato l’esca.
Il moderatore chiede ai venditori di “provare che sono effettivamente su Clubhouse, anche attraverso degli screenshot”. Agli acquirenti, consiglia di “procedere con cautela”, soprattutto quando a chiedere denaro sono “account Reddit appena creati”. E, se possibile, di scambiare due chiacchiere via chat per capire le loro intenzioni. Detto questo però, come in ogni mercato nero, la certezza non esiste. Pagare (in anticipo) non dà alcuna garanzia di un effettivo accesso a Clubhouse.
Su Telegram, decine di gruppi hanno lo stesso scopo. Il più popolare ha più di 78 mila iscritti. Il gestore spiega agli utenti (in inglese e in russo) come funziona: indica un numero di carta su cui accreditare 7 dollari o 450 rubli. Poi di inviare un’immagine dello schermo che certifichi il pagamento e il numero di telefono necessario per iscriversi. Probabilmente è questo, legato ai dati, il vero rischio. Se la promessa di accesso non venisse rispettata, l’aspirante iscritto non subirebbe un danno economico importante: ci rimetterebbe una decina di euro. Ma avrebbe compiuto un’operazione con i propri dati finanziari (carta di credito o account Paypal) e affidato a uno sconosciuto il proprio numero di telefono.
Audio e video esposti
Oltre alle conseguenze di un mercato degli inviti, Kaspersky ne segnala un altro, più complesso e – nell’immediato – meno visibile: “Gli attaccanti possono distribuire il codice malevolo attraverso finti software popolari, come ad esempio una versione falsa di Clubhouse per Android”. L’app, al momento, è infatti disponibile solo per iOS, cioè per una fetta minoritaria del mercato mobile.
“In base alle autorizzazioni concesse nelle impostazioni di sicurezza del dispositivo Android – spiegano gli esperti di Kaspersky – l’applicazione fake dannosa potrebbe localizzare il dispositivo con vari livelli di precisione, registrare audio e video, ottenere l’accesso alle app di messaggistica e molto altro”.
Da Clubhouse ai deep fake
Ci sono poi alcuni rischi meno comuni. “Gli attaccanti potrebbero implementare la funzionalità di registrazione audio nei dispositivi in cui è consentita. In questo caso, sarebbero in grado di ottenere registrazioni di alta qualità, da utilizzare per perfezionare gli algoritmi di machine learning e creare deep fake più avanzati”. In sostanza, un utente potrebbe ritrovarsi a osservare qualcuno con la sua faccia, che si muove e parla come lui. Un alter ego digitale svenduto per pochi euro o ceduto per una disattenzione.