Le truffe sul Green Pass, il passaporto vaccinale per il covid-19, stanno già circolando. Le attenzioni dei cybercriminali e dei furbetti del Web da qualche settimana si stanno concentrando sul certificato che attesta lo stato di “non contagiosità” di una persona vaccinata contro il covid-19 o testata con tampone di esito negativo o ancora dotata di anticorpi dopo una malattia. In tempo di pandemia, sul Web circola ogni genere di truffa. Lo abbiamo visto inizialmente con i vaccini: già a fine 2020, false dose di farmaco venivano vendute sul dark Web, cercando di abbindolare i più ingenui. II tariffario variava dai 500 dollari richiesti per il farmaco di Oxford-AstraZeneca e per Sinopharm, ai 600 dollari delle false dosi di vaccino Johnson & Johnson e Sputnik. Tra gennaio e marzo i ricercatori di Check Point hanno trovato circa 1.200 annunci di questo tipo.
Gli stessi ricercatori di Check Point hanno denunciato l’esistenza di simili attività sui certificati dei tamponi, con offerte di ogni genere: test covid-19 negativi ottenibili in meno di 24 ore, anche con offerte “paghi due, prendi tre”, o servizi che permettevano di creare un test falsificato in meno di trenta minuti al costo di 25 dollari.
Adesso, mentre milioni di italiani si apprestano ad andare in vacanza o a programmare gli spostamenti estivi, è il momento delle truffe sul Green Pass, che come sappiamo è necessario per potersi spostare liberamente all’interno dei Paesi europei e dell’area Schengen. Per poter stampare il proprio certificato cartaceo od ottenere la versione digitale, gli italiani vaccinati devono attendere di ricevere un Sms del Ministero della Salute sul numero telefonico rilasciato in fase di prenotazione del vaccino. Non dobbiamo quindi fidarci di altre forme o canali di comunicazione.
La truffa Whatsapp e altri rischi sul Green Pass
In questi giorni stanno su Whatsapp dei messaggi che invitano l’utente a scaricare il proprio Green Pass: “In questo link puoi scaricare il certificato verde Green Pass COVID-19 che ti permette liberamente di muoverti in tutta Italia senza mascherina”. Il collegamento porta su un sito che imita l’aspetto e i loghi del sito del Ministero della Salute: in realtà, non fa altro che rubare i dati personali o bancari che la persona inserisce nell’apposito modulo di richiesta.
Oltre a creare un pretesto per azioni di phishing come questo, il Green Pass è problematico dal punto di vista della privacy e della sicurezza dei dati. Così ha sottolineato Proofpoint, facendo notare che non esiste un unico standard né un’unica piattaforma tecnologica sottostante alle varie implementazioni nazionali. “Israele ha un Green Pass per convalidare la vaccinazione”, spiega Andrew Rose, resident Ciso, Emea di Proofpoint, “la Francia sta sperimentando un passaporto per i vaccini per i viaggi aerei e molti Paesi nordici stanno collaborando su un'applicazione di passaporto digitale per i vaccini da usare negli aeroporti. L'Africa Centres for Disease Control and Prevention sta sviluppando My Covid Pass, uno strumento digitale di verifica dei vaccini da utilizzare alle frontiere di entrata e uscita. Queste numerose iniziative sollevano una serie di preoccupazioni, legate in primo luogo ai dati stessi. Servirà chiarezza su chi detiene quali dati, con chi li condividerà e, ancora più importante, quanto saranno attrezzate le varie parti per conservare tali dati in modo sicuro”.
Proofpoint fa notare che le compagnie aeree da anni sono bersagli privilegiati di attacchi informatici, e qualsiasi incremento dei dati da loro gestiti non farà che renderle ancor più appetibili per i cybercriminali. “Più organizzazioni conservano o accedono alle nostre informazioni sensibili, più queste stesse organizzazioni sono esposte a perdite e violazioni”, rimarca Rose. “E, al di fuori di enti medici o governativi, è improbabile che la maggior parte abbia protezioni adeguate per garantire la sicurezza di questi dati. Senza dubbio, i cybercriminali sceglieranno i loro obiettivi di conseguenza”.
Altro fattore di rischio, che può agevolare i truffatori, è il fatto che gli utenti abbiano ancora poca familiarità con i Green Pass, poche certezze su che aspetto debba avere e su come sia possibile ottenerle (in questa pagina tutte le informazioni ufficiali). “Di conseguenza”, spiega l’esperto di cybersicurezza, “possiamo aspettarci comunicazioni fittizie da compagnie aeree, enti commerciali, governi e altro, che richiederanno credenziali di valore, informazioni personali e persino denaro, a un pubblico probabilmente molto ricettivo”. Un altro potenziale pericolo è rappresentato dall’emotività delle persone, dal loro desiderio di poter finalmente tornare alla normalità: nell’urgenza di ottenere il loro lasciapassare, potrebbero commettere gesti avventati come cliccare su un link, aprire un allegato o inserire dati sensibili su un sito Web.