Puoi votare una ballerina / ginnasta / figlia di un'amica in questo concorso?
Dietro a questo invito apparentemente banale si nasconde un meccanismo di furto dell'account WhatsApp basato sull'ingegneria sociale.
Come funziona la truffa
- L'utente clicca su un link fraudolento;
- il sito chiede di inserire il numero di telefono;
- i truffatori avviano una vera procedura di accesso a WhatsApp;
- WhatsApp invia un codice OTP ufficiale via SMS;
- l'utente inserisce quel codice nel sito → account rubato.
Non viene installato alcun virus e WhatsApp non viene violato: l'utente viene indotto a consegnare volontariamente il codice di accesso, che equivale alle chiavi dell'account.
Cosa succede dopo il furto
Il legittimo proprietario viene disconnesso ed i truffatori scrivono a tutti i contatti usando la sua identità. In questo modo la truffa si propaga rapidamente.
In alcuni casi vengono richiesti soldi a nome della vittima; per professionisti ed aziende il danno è anche di reputazione.
Se non si interviene, la situazione peggiora rapidamente.
Cosa fare se si cade nell'inganno
Prima di tutto bisogna recuperare l'account reinstallando WhatsApp e richiedendo un nuovo codice (attendere eventuali timeout se l'account è ancora in uso). Quindi bisogna attivare rapidamente la verifica in due passaggi (PIN).
Se il truffatore non ha ancora completato il login, basta l'attivazione del PIN per proteggersi e far fallire l'attacco:
OTP corretto → richiesta PIN → BLOCCO
In ogni caso è opportuno avvisare i propri contatti perché ignorino messaggi fasulli.
Perché la verifica in due passaggi è fondamentale
La truffa funziona solo se la coppia numero di telefono + OTP è sufficiente.
Con la verifica in due passaggi attiva, anche con OTP corretto, la mancanza del PIN determina il blocco dell'accesso.
È la contromisura più efficace contro questo tipo di attacco.
Problemi comuni dopo il ripristino
Dopo il recupero dell'account alcuni utenti notano che:
- i messaggi finiscono nell'Archivio;
- le chat non suonano;
- l'ordine sembra "sballato".
Non è perdita di dati, ma sono impostazioni automatiche da correggere:
- togliere le chat dall'Archivio;
- disattivare "Mantieni chat archiviate";
- ripristinare le notifiche.
Un punto importante sulla sicurezza
Nessuno può "entrare" nel WhatsApp di un’altra persona per sistemarlo: né tecnici, né assistenza, né consulenti. È una tutela di sicurezza, soprattutto dopo una truffa.
Qualche dettaglio in più
┌──────────────┐
Vittima
(telefono A)
└──────────────┘
|
| ① clic sul link
▼
┌──────────────────────┐
Sito finto di voto
(controllato dai
truffatori)
└──────────────────────┘
|
| ② inserimento del numero
| (+39 xxx xxx xxx)
▼
┌──────────────────────┐
Truffatore
(backend / bot)
└──────────────────────┘
|
| ③ login WhatsApp
| con il numero
▼
┌──────────────────────┐
WhatsApp
(server ufficiale)
└──────────────────────┘
|
| ④ invio OTP via SMS
| "Il tuo codice è 123-456"
▼
┌──────────────┐
Vittima
(telefono A)
└──────────────┘
|
| ⑤ inserisce OTP
| nel sito finto
▼
┌──────────────────────┐
Truffatore
(riceve OTP valido)
└──────────────────────┘
|
| ⑥ completa login
▼
┌──────────────────────┐
WhatsApp
associa account
al telefono del
truffatore
└──────────────────────┘
A questo punto WhatsApp disconnette il telefono della vittima e l'account passa al truffatore.
Circa il punto ④ va notato che il contenuto dell'SMS inviato da WhatsApp, contenente il codice OTP, specifica sempre chiaramente: "non condividere questo codice con nessuno".
Tuttavia, ed è tipico di questo genere di attacco, l'avvertimento sfugge spesso alla vittima, a causa della fretta o della pressione sociale ("vota la figlia della mia amica!").