Rischio di phishing per gli utenti di Duolinguo

Security Awareness
18 Settembre 2023
Duolingo Phishing

Imparare le lingue sì, ma occhio alle trappole

Oggi per muoversi e lavorare nel mondo è quasi obbligatorio imparare altre lingue oltre alla propria lingua madre.

Fino a qualche anno fa, questo era considerato un investimento su se stessi.
Un percorso impegnativo e anche costoso. Bisognava partecipare a corsi riconosciuti, magari frequentare una scuola in presenza, spesso programmare soggiorni all’estero. Insomma, investire parecchio tempo e denaro.
Oggi è tutto molto più semplice: il web pullula sia di insegnanti sia di programmi o applicazioni che, con un impegno relativo e senza troppa fatica, promettono apprendimenti facili, veloci ed economici.

Tra questi uno dei più conosciuti e frequentati è Duolinguo uno dei maggiori siti al mondo per imparare le lingue, con oltre 74 milioni di utenti mensili globali.

La prima versione beta di Duolingo risale al 30 novembre 2011 e prima del lancio aveva già raggiunto una lista d’attesa di più di 300 mila utenti.
Il sito è stato lanciato al pubblico nel giugno 2012 e a gennaio 2014 contava già 25 milioni di utenti, di cui circa 12,5 milioni attivi. Nel 2013 Apple ha scelto Duolingo come sua “app per iPhone dell’anno”, rendendola la prima app educativa a cui è stato assegnato questo tipo di riconoscimento. Insomma, un’idea e un metodo azzeccati sin da subito.

Peccato però che l’affidabilità della nota applicazione abbia cominciato a scricchiolare a seguito di una recente fuga di dati. All’inizio di quest’anno, infatti, i pirati informatici hanno ottenuto i nomi e gli indirizzi e-mail di 2,6 milioni di utenti dell’app e ora stanno vendendo l’intero set di dati su forum underground per circa 2,13 dollari, consentendo così ad altri criminali di condurre attacchi di phishing mirati utilizzando i nomi e gli indirizzi e-mail degli utenti.

Allo stesso tempo, gli hacker possono indurre le vittime a cliccare, spacciandosi per Duolingo nei loro messaggi.
L’obiettivo è sia rubare denaro sia utilizzare e-mail di phishing mirate per indurre gli utenti di Duolingo a installare malware sui loro dispositivi o a fornire le loro credenziali o i loro dati bancari, attraverso il servizio di pagamento chiamato Super Duolingo.

Questi dati sono stati raccolti utilizzando una API (application programming interface, l’interfaccia di programmazione di un’applicazione) esposta che è stata pubblicata almeno dal marzo 2023.

Questa API consente a chiunque di inserire un nome utente e di recuperare in output un JSON contenente le informazioni pubbliche del profilo utente inserito. Inoltre, è anche possibile inserire un indirizzo e-mail nell’API e verificare se questa è associata a un account DuoLingo valido.

Il punto è che pare che questa API sia ancora disponibile a chiunque sul web, anche dopo che il suo abuso è stato segnalato a DuoLingo a gennaio.

Insomma, il problema non sembra risolto. Quindi, per ora, agli utenti, in attesa che Duolinguo prenda provvedimenti definitivi, non rimane che essere molto attenti a non cadere nella tela del ragno.

I suggerimenti sono sempre gli stessi:

  • osservare con molta attenzione le email che arrivano,
  • controllare se indirizzo del mittente è quello legittimo,
  • verificare che non ci siano grammatica e parole sbagliate,
  • non reagire emotivamente a una mail allarmistica che magari minaccia una qualche scadenza o perdita dell’account e, soprattutto,
  • evitare di cliccare su qualsiasi link che desti qualche sospetto e di scaricare allegati!

I pericoli sul web sono sempre più presenti e infidi.
L’unica strada che ci mette sicuramente al riparo da brutti inconvenienti è quella di una formazione di qualità che, non solo fornisce tutte le conoscenze per evitare di cadere nelle ormai numerose trappole degli hacker ma ci permette di essere sempre “sul pezzo” senza essere presi alla sprovvista.
Perché è proprio quest’ultimo fattore l’arma preferita dei pirati informatici.


Articoli correlati

Anche lo Sport è sotto attacco cyber

Anche lo Sport è sotto attacco cyber

Le violazioni al Bologna Calcio e allo Stadio San Siro. I pirati del gruppo RansomHub pubblicano su Dark Web alcuni dei documenti sottratti e chiedono al club di Serie A di pagare un riscatto. "Una delle brecce di dati più grandi della storia dello sport italiano”,...

leggi tutto