Torna su WhatsApp in questi giorni la truffa del codice di verifica a 6 cifre che consente a criminal hacker di rubare i profili delle ignare vittime.
Il truffatore può impadronirsi di un profilo WhatsApp e dei relativi gruppi, modificando volendo anche nome e foto dell’account, mettendo successivamente in atto, secondo un processo a catena, la stessa truffa contro i componenti delle conversazioni in comune.
L’utente viene attaccato con il messaggio, che appare su Whatsapp da parte di uno dei nostri contatti in rubrica, “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”. Se lo mandiamo scatta il furto del profilo.
Si tratta infatti del codice dell’autenticazione a due fattori, che non dobbiamo dare a nessuno per nessun motivo. Il nostro contatto in rubrica ci ha mandato involontariamente quel messaggio perché è caduto nella truffa, la quale permette ai criminali di sfruttarne il profilo per mandare quel messaggio ad altri contatti, in una sorta di catena di sant’Antonio automatica.
Quest’articolo è stato aggiornato ogni volta che la truffa si è ripresentata; l’ultimo caso riportato è stato intorno febbraio 2021, con un allarme della Polizia di Stato a gennaio; ma l’esperienza degli ultimi mesi insegna che è un fenomeno ciclico, quindi è bene stare in guardia sempre.
Indice degli argomenti
WhatsApp: come funziona la truffa del codice a 6 cifre
Il meccanismo con il quale può essere attuata la truffa è abbastanza semplice e sfrutta le ben note tecniche d’ingegneria sociale oltre ad una funzionalità legittima di WhatsApp: la funzione “cambia numero” che prevede una verifica con codice di 6 cifre trasmesso via SMS.
Attraverso tale funzione, l’attaccante:
- inserisce come numero di telefono attuale quello di un contatto già compromesso presente nella rubrica della vittima;
- inserisce come nuovo numero quello della vittima, che riceverà secondo procedura un codice di 6 cifre via SMS sul proprio dispositivo;
- contemporaneamente, usando il profilo WhatsApp del contatto già compromesso, il truffatore provvederà a scrivere alla vittima un messaggio del tipo: “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”.
Puntando sulla buona fede, ingenuità e su un certo numero di tentativi “a strascico” (ogni volta, è infatti sufficiente concluderne uno con successo per poter continuare a perpetrare la truffa), l’attaccante riesce ad eseguire l’accesso con il numero della vittima e a prendere il possesso dell’account del legittimo proprietario, disconnettendolo automaticamente da WhatsApp e interdicendo la possibilità di riconnessione fintantoché ne detiene il possesso.
Cosa succede se la truffa va a buon fine
Il criminal hacker entrato in possesso dell’account diventa a tutti gli effetti proprietario del profilo e delle impostazioni personalizzate.
Potrà, quindi, vedere i gruppi e i numeri di telefono dei partecipanti (anche se non potrà vedere i contenuti delle chat singole e di gruppo; qualora la vittima sia amministratore di un gruppo potrà eliminarlo o cambiarne nome) che potranno essere usati per propinare la stessa truffa.
Truffe a terzi
Se a questo si aggiunge anche che utilizzando la funzione “cambia numero” è possibile avvisare i contatti del cambio avvenuto, succede che gli ignari contatti aggiungendo un numero sconosciuto alla propria rubrica agevoleranno ancor di più, di fatto, il lavoro del criminal hacker che così troverà nuovi gruppi e quindi nuovi numeri da carpire.
Grazie al controllo dei profili, il criminale potrebbe diffondere messaggi di truffa, con link a malware o a pagine utili a rubare i dati personali dei contatti. Ci potrebbe arrivare ad esempio un messaggio da un nostro amico, il cui profilo è stato rubato, che ci invita a cliccare un link per vedere un video divertente.
Possono sequestrare il profilo
In teoria il criminale potrebbe anche cambiare il numero dell’autenticazione a due fattori e sequestrare il profilo, chiedendone poi un riscatto.
Non risultano a momento exploit specifici utilizzati per questa truffa, tuttavia.
Come impedire il furto del profilo WhatsApp
Per prevenire l’eventualità di cadere vittima della cosiddetta “truffa del codice a 6 cifre” su WhatsApp è sufficiente seguire delle buone regole e attivare delle funzionalità di sicurezza aggiuntive messe a disposizione dalla stessa app di messaggistica:
- non condividere mai con altri il codice di verifica a 6 cifre;
- non condividere con nessuno informazioni personali;
- prestare attenzione quando si ricevono richieste inaspettate e insolite;
- abilitare le notifiche di sicurezza (che consentono di ricevere una notifica ogni volta che un contatto cambia il codice di accesso a 6 cifre) e la verifica a due passaggi (che richiede l’inserimento di un PIN personale ogniqualvolta che si effettua la registrazione del proprio numero di telefono su WhatsApp).
Per abilitare le notifiche di sicurezza e la verifica in due passaggi è necessario accedere al proprio profilo WhatsApp e attivare le seguenti voci di menu:
- in Impostazioni/Account/Sicurezza selezionare l’opzione Mostra notifiche di sicurezza;
- da Impostazioni/Account/Verifica in due passaggi procedere all’attivazione della funzione.
Che fare dopo il furto del profilo con la truffa del codice a 6 cifre
Se invece siamo già rimasti vittima della truffa, possiamo in un attimo recuperare il controllo del profilo facendo mandare a Whatsapp un nuovo codice al nostro cellulare.
In questo caso, è sufficiente riprovare l’accesso al proprio account WhatsApp (non dovrebbe essere necessario disinstallare l’applicazione e reinstallarla), e quindi inserire di nuovo il nostro numero di telefono (nella speranza che il truffatore non abbia già cambiato il numero associato e fatto altri danni). Ci arriverà un codice sul cellulare e l’accesso sarà ripristinato in automatico, come quando cambiamo cellulare.
Si può valutare eventualmente la disattivazione dell’account o il cambio del numero di telefono.
Si può sempre denunciare il prima possibile alla Polizia postale e avvisare i propri contatti evitando di far salvare il nuovo numero, rompendo così la catena malevola.
