Truffa WhatsApp scuola: furto dell'account con il falso voto
Il raggiro via chat colpisce genitori e docenti: la richiesta del codice OTP cela il furto del profilo e dei dati personali.
Velinda Cisternino
Una sofisticata truffa WhatsApp minaccia il mondo scolastico. I cybercriminali rubano identità chiedendo falsi voti per gare di minori. Analizziamo le dinamiche di questo phishing che sfrutta la fiducia tra contatti per sottrarre il codice di accesso e violare la privacy degli utenti.
L'allarme nelle scuole: come si diffonde la truffa WhatsApp
Una nuova e insidiosa ondata di crimine informatico sta investendo le chat di classe e i gruppi di messaggistica scolastici. Al centro di questa manovra vi è un attacco mirato di ingegneria sociale che ha messo in allerta la Polizia Postale e le istituzioni educative. Il modus operandi è subdolo perché fa leva sull'empatia: i malintenzionati inviano messaggi apparentemente innocui, spesso da numeri di conoscenti o colleghi già compromessi, sollecitando un aiuto per un presunto concorso online (gare di danza, tornei di calcio o competizioni canore) che vedrebbe coinvolti minori tra i 12 e i 15 anni.
Gli analisti di Kaspersky, leader nella sicurezza informatica, hanno etichettato questa campagna come una delle minacce più penetranti previste per il 2026. La pericolosità risiede nella verosimiglianza del contesto: ricevendo la richiesta da un contatto amico, la vittima abbassa le difese immunitarie digitali. Non si tratta di un semplice spam, ma di una violazione mirata che sfrutta la fitta rete di relazioni tra genitori, personale ATA e docenti per propagarsi a macchia d'olio.
La trappola del codice OTP e il furto dell'identità digitale
Il cuore tecnico della frode risiede nella gestione del codice OTP (One-Time Password). Il link inviato dal truffatore indirizza l'utente su portali che replicano fedelmente l'interfaccia grafica di WhatsApp o Telegram. Qui, con il pretesto di validare il voto per il minore, viene richiesto l'inserimento del proprio numero di telefono. In pochi secondi, la vittima riceve un SMS ufficiale dall'app di messaggistica contenente una sequenza numerica a sei cifre.
È qui che scatta la trappola: quel codice non serve a confermare alcuna preferenza nel concorso, bensì è la chiave di sblocco che autorizza il trasferimento dell'account su un nuovo dispositivo, quello del criminale. Come sottolineano gli esperti di Keeper Security, condividere quella sequenza equivale a consegnare le chiavi di casa a uno sconosciuto. Una volta inserito il codice nella pagina fraudolenta, l'hacker ottiene il possesso immediato del profilo, estromettendo il legittimo proprietario e guadagnando accesso a cronologia chat, media privati e lista contatti.
Blocco dell'account e strategie di difesa preventiva
L'efficacia di questo attacco è garantita dalla velocità di esecuzione. Appena preso il controllo del profilo, i truffatori attivano la verifica in due passaggi, impostando un PIN segreto e modificando l'email di recupero. Questa mossa impedisce alla vittima di rientrare in possesso del proprio account tramite le procedure standard, lasciando il numero in ostaggio dei cybercriminali per giorni o settimane. Nel frattempo, l'account violato viene utilizzato come "testa di ponte" per inviare lo stesso messaggio esca a tutta la rubrica, sfruttando la reputazione della vittima per ingannare nuovi utenti.
Associazioni come Udicon raccomandano la massima cautela, suggerendo di verificare telefonicamente (con chiamata voce) qualsiasi richiesta insolita, anche se proveniente da amici stretti. L'unica barriera efficace rimane l'attivazione preventiva dell'autenticazione a due fattori nelle impostazioni dell'app, un passaggio che rende il codice SMS inutile per chiunque non possieda anche il PIN personale creato dall'utente.
Domande Frequenti (FAQ)
Cosa devo fare se ho inviato il codice OTP al truffatore? Tenta immediatamente di accedere nuovamente a WhatsApp verificando il tuo numero. Se il truffatore non ha ancora attivato la verifica in due passaggi, potrai recuperare l'account. Se ti viene chiesto un PIN che non hai impostato, dovrai attendere 7 giorni per reimpostarlo, ma nel frattempo l'account verrà disconnesso dal dispositivo del criminale.
Ho cliccato sul link ma non ho inserito nessun codice, rischio qualcosa? Se ti sei limitato ad aprire la pagina web senza inserire dati o codici ricevuti via SMS, il tuo account WhatsApp è generalmente al sicuro. Tuttavia, è consigliabile eseguire una scansione antivirus sul dispositivo per escludere la presenza di malware.
Come si attiva la verifica in due passaggi su WhatsApp? Apri l'app, vai su Impostazioni > Account > Verifica in due passaggi > Attiva. Ti verrà chiesto di creare un PIN a 6 cifre e di inserire un indirizzo email di recupero. Questo impedirà a chiunque di rubare il tuo profilo anche se possiede il tuo codice SMS.
