Come vi abbiamo raccontato in un recente articolo, dopo qualche settimana di stop il sistema di allarme pubblico IT-alert ha ricominciato a inviare i suoi (volutamente) riconoscibilissimi messaggi sonori a nuove regioni del nostro Paese.
Più avanti ripercorreremo il calendario con le prossime regioni coinvolte. Per ora ci concentreremo su altro. Ossia sul fatto che il virtuoso strumento gestito dalla Protezione civile nasconde, suo malgrado, alcune insidie. Sembra infatti che IT-alert sia a rischio phishing.
Ricordiamo anzitutto cos’è IT-alert, e vediamo poi in che modo può essere utilizzato dagli hacker per ordire truffe.
Cos’è IT-alert
Come è ben spiegato in una pagina del sito dedicato al servizio, IT-alert è il “nuovo sistema di allarme pubblico per l’informazione diretta alla popolazione, che dirama ai telefoni cellulari presenti in una determinata area geografica messaggi utili in caso di gravi emergenze o catastrofi imminenti o in corso.”
L’avviso viene fornito appunto attraverso “un suono ben riconoscibile e differente dalle classiche suonerie.” Obiettivo è quello di minimizzare i rischi individuali e collettivi nei casi di calamità.
IT-alert e il phishing
Gli hacker sono, per definizione, astuti, e nei loro tentativi di raggiro sono sempre più raffinati.
Sfruttano cioè situazioni tali per cui i riceventi meno avveduti non dovrebbero avere motivo di dubitare. Lo hanno fatto i mesi scorsi, quando hanno inviato messaggi che avevano tutta l’aria di essere stati recapitati dal nostro istituto bancario. Qui facevano dunque leva sul rapporto di fiducia.
E nel caso di IT-alert, come poter pensare al phishing? È uno strumento in fase di test che, una volta entrato in funzione, avrà una grande importanza. Visto soprattutto che negli ultimi tempi i disastri naturali, nel nostro Paese, ahinoi non sono certo mancati.
Proteggiti con Bitdefender, Leader mondiale in sicurezza informatica
Il finto messaggio
È proprio sfruttando l’ufficialità e l’insospettabilità del sistema di allarme pubblico nazionale che gli hacker agirebbero.
Ha sollevato la questione Adrianus Warmenhoven, cybersecurity advisor per NordVPN. La truffa sarebbe agevolata dal fatto che “molte persone non hanno ancora familiarità con il concetto di messaggio di allerta e con l’aspetto del messaggio stesso.”
È quindi facile che i malintenzionati, sfruttando una conoscenza parziale dello strumento da parte della popolazione, inviino SMS che rimandano a link truffaldini. La solita trafila per estorcere dati personali o denaro, insomma.
L’importanza dell’informazione
Per questo, prosegue Warmenhoven, è più che mai importante spiegare con la massima precisione la tipologia di avviso del sistema IT-alert. Che non invia nessun SMS ma semmai un messaggio push, cioè una comunicazione che prevede solo di fornire un consenso premendo il pulsante “OK” che appare sullo schermo dello smartphone.
Il consiglio, in questi giorni di test, è perciò doppio. Intanto, eventuali SMS collegati a IT-alert sono potenziali tentativi di phishing, quindi vanno ignorati. Sarebbe inoltre buona norma avvisare le autorità competenti.
La bufala della sottrazione dei dati
Il tentativo di phishing sfruttando IT-alert ha qualche parentela con un qualcosa a metà tra bufala e complottismo, che aveva attecchito sui social non appena il servizio di allarme pubblico era stato presentato.
C’è chi aveva gridato allo scandalo, indicando IT-alert come subdolo strumento di controllo della popolazione.
Invece, ha spiegato la Protezione civile, “il sistema è unidirezionale (dall’operatore telefonico al dispositivo) e non consente di ricevere alcun tipo di dato di ritorno o feedback dai cellulari raggiunti. Ciò significa che nessun dato personale di chi riceve il messaggio viene trattato in alcun modo dal Dipartimento della Protezione Civile e dall’operatore telefonico di riferimento.”
E anche il questionario da compilare in questa fase di test “non richiede alcuna informazione personale, tranne la città di residenza, il brand dello smartphone e la compagnia telefonica utilizzata, informazioni necessarie per valutare la qualità del servizio”.
Il calendario
Intanto, i test del sistema di allarme pubblico nazionale proseguono.
Martedì 19 settembre tocca a Basilicata, Lombardia e Molise. Il 21 sarà la volta di Lazio, Valle d’Aosta e Veneto. E il 26 di Abruzzo e Provincia Autonoma di Trento. Chiudono la Liguria il 27 settembre e la Provincia Autonoma di Bolzano il 13 ottobre.
Ricordiamo che i messaggi raggiungono i cittadini (con il telefono attivo) intorno alle ore 12.00.
Ultimo aggiornamento 2024-10-06 / Link di affiliazione / Immagini da Amazon Product Advertising API