La richiesta dell'invio di un codice inoltrato per errore da un contatto presente in rubrica e il gioco è fatto: così i cybercriminali riescono a impossessarsi di un profilo WhatsApp. Un inganno semplice ma ben architettato, che va a segno in più di qualche caso, specie tra gli utenti meno avvezzi a districarsi tra tentativi di truffe di vario genere, convinti che in effetti il messaggio arrivi da un familiare o da un conoscente.
Tutto ruota attorno a un banale codice a sei cifre, vera e propria chiave di accesso la cui conoscenza consente di bucare un profilo WhatsApp. Lo stesso che, per intenderci, viene richiesto anche al momento della prima installazione della app: dopo aver inserito il numero di cellulare, infatti, il codice viene inviato tramite sms o tramite chiamata e deve essere poi inoltrato per confermare che il profilo che si sta creando sia legato effettivamente a quel numero telefonico.
Il medesimo sistema di autenticazione standard viene utilizzato anche per convalidare una richiesta di cambio di numero del telefono associato all'account WhatsApp da cui viene avviata la procedura. Ed è qui che entrano in campo i cybercriminali. L'unica condizione richiesta per tentare di mettere in atto il raggiro è la conoscenza del numero telefonico della vittima: è tramite questo che viene inoltrata a WhatsApp la richiesta di cambio numero associato.
Il passo successivo è quello di ottenere il codice a sei cifre che consente di completare l'operazione, e i truffatori sfruttano le più classiche tecniche di social engineering per carpire la fiducia dell'obiettivo di turno. Contemporaneamente viene inviato un sms al vero proprietario del numero con l'obiettivo di ottenere la chiave di accesso al profilo:"Ciao, scusami, ti ho inviato per sbaglio un codice via sms, potresti rimandarmelo?". Spesso la vittima ci casca e agisce come richiesto, dal momento che apparentemente il messaggio sembra arrivare da una persona di cui ci si fida, come un familiare o un amico. Ottenuto il codice, i truffatori possono attivare la app su un altro dispositivo elettronico in loro possesso, mentre il proprietario originario vienedisconnesso immediatamente.
Da quel momento in poi i cybercriminali avranno il possesso del profilo e la conoscenza dei numeri in rubrica, così da replicare la truffa anche a tutti gli altri contatti. L'unico modo per evitare di cadere nel tranello è quello di cestinare ogni richiesta di invio di codici o di dati sensibili che sia fatta tramite WhatsApp, anche nel caso in cui arrivi da un contatto presente in rubrica, e , soprattutto, di non cliccare mai alcun link inserito al suo interno. Un indizio, spesso e volentieri, è l'italiano stentato e pieno di errori utilizzato nel messaggio. Il passo successivo è quello di avvisare immediatamente tutti i contatti in rubrica per evitare che la truffa possa propagarsi ulteriormente.
Nel caso in cui si sia caduti nel tranello, è possibile invece ricorrere alla disattivazione dell’account o
richiederla via mail scrivendo all’indirizzo support@whatsapp.com. In pochi minuti l’account viene disattivato, e sarà poi possibile effettuare una nuova procedura di accesso ricevendo l’sms di verifica col codice a 6 cifre.- dal lunedì al venerdì dalle ore 10:00 alle ore 20:00
- sabato, domenica e festivi dalle ore 10:00 alle ore 18:00.