La truffa Whatsapp del codice a 6 cifre: così c'è il furto del profilo. Come difendersi - Cyber Security 360

L'ANALISI TECNICA

La truffa Whatsapp del codice a 6 cifre: così c’è il furto del profilo. Come difendersi

Nelle ultime ore si ha evidenza di nuovi tentativi di furto dei profili WhatsApp mediante la truffa del codice di verifica a 6 cifre. Si presenta con un messaggio che arriva da uno dei nostri contatti, “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”. Ecco come funziona il raggiro e i consigli per difendersi

29 Ott 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


Torna su WhatsApp in queste ore la truffa del codice di verifica a 6 cifre che consente a criminal hacker di rubare i profili delle ignare vittime.

Il truffatore può impadronirsi di un profilo WhatsApp e dei relativi gruppi, modificando volendo anche nome e foto dell’account, mettendo successivamente in atto, secondo un processo a catena, la stessa truffa contro i componenti delle conversazioni in comune.

L’utente viene attaccato con il messaggio, che appare su Whatsapp da parte di uno dei nostri contatti in rubrica, “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”. Se lo mandiamo scatta il furto del profilo.

Si tratta infatti del codice dell’autenticazione a due fattori, che non dobbiamo dare a nessuno per nessun motivo. Il nostro contatto in rubrica ci ha mandato involontariamente quel messaggio perché è caduto nella truffa, la quale permette ai criminali di sfruttarne il profilo per mandare quel messaggio ad altri contatti, in una sorta di catena di sant’Antonio automatica.

WhatsApp: come funziona la truffa del codice a 6 cifre

Il meccanismo con il quale può essere attuata la truffa è abbastanza semplice e sfrutta le ben note tecniche d’ingegneria sociale oltre ad una funzionalità legittima di WhatsApp: la funzione “cambia numero” che prevede una verifica con codice di 6 cifre trasmesso via SMS.

Attraverso tale funzione, l’attaccante:

  1. inserisce come numero di telefono attuale quello di un contatto già compromesso presente nella rubrica della vittima;
  2. inserisce come nuovo numero quello della vittima, che riceverà secondo procedura un codice di 6 cifre via SMS sul proprio dispositivo;
  3. contemporaneamente, usando il profilo WhatsApp del contatto già compromesso, il truffatore provvederà a scrivere alla vittima un messaggio del tipo: “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”.

Puntando sulla buona fede, ingenuità e su un certo numero di tentativi “a strascico” (ogni volta, è infatti sufficiente concluderne uno con successo per poter continuare a perpetrare la truffa), l’attaccante riesce ad eseguire l’accesso con il numero della vittima e a prendere il possesso dell’account del legittimo proprietario, disconnettendolo automaticamente da WhatsApp e interdicendo la possibilità di riconnessione fintantoché ne detiene il possesso.

Cosa succede se la truffa va a buon fine

WEBCAST
Come sviluppare una sicurezza personalizzata per le esigenze di ogni settore di attività?
Sicurezza

Il criminal hacker entrato in possesso dell’account diventa a tutti gli effetti proprietario del profilo e delle impostazioni personalizzate. Potrà, quindi, vedere i gruppi e i numeri di telefono dei partecipanti (anche se non potrà vedere i contenuti delle chat singole e di gruppo; qualora la vittima sia amministratore di un gruppo potrà eliminarlo o cambiarne nome) che potranno essere usati per propinare la stessa truffa.

Se a questo si aggiunge anche che utilizzando la funzione “cambia numero” è possibile avvisare i contatti del cambio avvenuto, succede che gli ignari contatti aggiungendo un numero sconosciuto alla propria rubrica agevoleranno ancor di più, di fatto, il lavoro del criminal hacker che così troverà nuovi gruppi e quindi nuovi numeri da carpire.

Grazie al controllo dei profili, il criminale potrebbe diffondere messaggi di truffa, con link a malware o a pagine utili a rubare i dati personali dei contatti. Ci potrebbe arrivare ad esempio un messaggio da un nostro amico, il cui profilo è stato rubato, che ci invita a cliccare un link per vedere un video divertente.

In teoria il criminale potrebbe anche cambiare il numero dell’autenticazione a due fattori e sequestrare il profilo, chiedendone poi un riscatto.

Non risultano a momento exploit specifici utilizzati per questa truffa, tuttavia.

Come impedire il furto del profilo WhatsApp

Per prevenire l’eventualità di cadere vittima della cosiddetta “truffa del codice a 6 cifre” su WhatsApp è sufficiente seguire delle buone regole e attivare delle funzionalità di sicurezza aggiuntive messe a disposizione dalla stessa app di messaggistica:

  1. non condividere mai con altri il codice di verifica a 6 cifre;
  2. non condividere con nessuno informazioni personali;
  3. prestare attenzione quando si ricevono richieste inaspettate e insolite;
  4. abilitare le notifiche di sicurezza (che consentono di ricevere una notifica ogni volta che un contatto cambia il codice di accesso a 6 cifre) e la verifica a due passaggi (che richiede l’inserimento di un PIN personale ogniqualvolta che si effettua la registrazione del proprio numero di telefono su WhatsApp).

Per abilitare le notifiche di sicurezza e la verifica in due passaggi è necessario accedere al proprio profilo WhatsApp e attivare le seguenti voci di menu:

  • in Impostazioni/Account/Sicurezza selezionare l’opzione Mostra notifiche di sicurezza;
  • da Impostazioni/Account/Verifica in due passaggi procedere all’attivazione della funzione.

Che fare dopo il furto del profilo con la truffa del codice a 6 cifre

Se invece siamo già rimasti vittima della truffa, possiamo in un attimo recuperare il controllo del profilo facendo mandare a Whatsapp un nuovo codice al nostro cellulare.

In questo caso, è sufficiente riprovare l’accesso al proprio account WhatsApp (non dovrebbe essere necessario disinstallare l’applicazione e reinstallarla), e quindi inserire di nuovo il nostro numero di telefono (nella speranza che il truffatore non abbia già cambiato il numero associato e fatto altri danni). Ci arriverà un codice sul cellulare e l’accesso sarà ripristinato in automatico, come quando cambiamo cellulare.

Si può valutare eventualmente la disattivazione dell’account o il cambio del numero di telefono.

Si può sempre denunciare il prima possibile alla Polizia postale e avvisare i propri contatti evitando di far salvare il nuovo numero, rompendo così la catena malevola.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 5