Truffa WhatsApp con un voto ad uno spettacolo teatrale: ecco come difendersi
Un nuovo attacco tramite codice a 8 caratteri colpisce l'Italia rubando l'accesso ai messaggi. La protezione della privacy è a rischio immediato.
Velinda Cisternino
Una pericolosa truffa WhatsApp sta circolando in Italia, mirando a rubare l'identità digitale degli utenti attraverso un ingannevole codice a 8 caratteri. Questa campagna di session hijacking sfrutta la fiducia verso i contatti in rubrica per diffondersi rapidamente e colpire in particolare il personale scolastico.
Meccanismo della truffa whatsapp tramite un voto teatrale
L'attacco informatico ha inizio con un messaggio proveniente da un contatto fidato. Il testo invita la vittima a partecipare a una votazione online per un presunto spettacolo teatrale scolastico. Il collegamento presente nel messaggio rimanda a un portale web esterno che simula una piattaforma di voto legittima, completa di immagini e contatori dinamici.
Per convalidare la preferenza, il sito richiede l'inserimento del proprio numero di telefono e la generazione di un codice. In questa fase, gli attaccanti utilizzano le API ufficiali della piattaforma per richiedere un collegamento tra dispositivi. L'utente, convinto di confermare un voto, inserisce un codice a 8 caratteri all'interno delle impostazioni della propria applicazione, consegnando di fatto l'accesso totale al malintenzionato.
Perché la verifica in due passaggi non basta
Molti utenti ritengono erroneamente che la sicurezza account sia garantita dalla verifica in due passaggi (PIN a 6 cifre). Tuttavia, questo sistema di difesa protegge esclusivamente la fase di registrazione del numero su un nuovo smartphone.
La truffa WhatsApp analizzata sfrutta invece il canale dei "dispositivi collegati". Poiché il malintenzionato non sta registrando un nuovo account ma sta collegando un'istanza parallela (come avviene con WhatsApp Web), il PIN non viene richiesto. Questo permette all'attaccante di monitorare conversazioni, scaricare allegati e inviare messaggi fraudolenti a nome della vittima senza far scattare alcun avviso di sicurezza tradizionale.
Come tutelare la sicurezza account e rimediare
In presenza di attività sospette o dopo aver interagito con link dubbi, è fondamentale agire con tempestività per ripristinare la sicurezza account.
Verifica dispositivi: Accedere alle impostazioni dell'app, selezionare "Dispositivi collegati" e disconnettere ogni sessione attiva non riconosciuta.
Comunicazione ai contatti: Avvisare tempestivamente i propri contatti tramite canali alternativi (SMS o telefonate), poiché il profilo potrebbe essere utilizzato per propagare ulteriormente il tentativo di session hijacking.
Segnalazione istituzionale: Per i dipendenti pubblici o scolastici, è doveroso informare il Responsabile della protezione dei dati (DPO) per gestire eventuali violazioni della privacy secondo le normative vigenti.
