Ormai se ne inventano di tutti i colori per cercare di fregarci. La truffa che corre in Rete più singolare degli ultimi tempi, sembra (come sempre) il messaggio più innocente del mondo e invece ha l’obiettivo di prendere in realtà il controllo del nostro Whatsapp.
Attenzione al Whatsapp con la borsa di studio
La Sezione Operativa per la Sicurezza Cibernetica di Aosta ha diffuso un’allerta riguardante una nuova ondata di attacchi informatici su WhatsApp. L’offensiva mira alla sottrazione delle identità digitali attraverso una tecnica che sfrutta la fiducia tra conoscenti.
Il meccanismo si attiva tramite la ricezione di un messaggio che invita a partecipare a una votazione online, ma l’obiettivo reale è l’ottenimento delle credenziali di accesso al profilo della vittima.
Dinamica del raggiro e sottrazione dei dati
Il tentativo di frode inizia con un testo inviato da un contatto già presente nella lista del destinatario.
Il contenuto tipo recita:
“Ciao! Per favore vota per Federica in questo sondaggio, è la figlia di una mia amica”.
L’utente che acconsente alla richiesta clicca su un collegamento ipertestuale che rimanda a una pagina esterna. All’interno di questa interfaccia viene richiesto l’inserimento del proprio numero di cellulare e di un codice numerico ricevuto contestualmente via SMS. Tale sequenza rappresenta in realtà il sistema OTP (One Time Password) necessario per configurare WhatsApp su un nuovo dispositivo.
Una volta consegnate queste cifre, l’autore del reato ottiene il controllo totale dell’applicazione, estromettendo il legittimo titolare.
La propagazione virale del phishing
L’efficacia della campagna risiede nella sua capacità di espansione automatica. Non appena il malintenzionato entra in possesso di un account, utilizza la lista contatti del soggetto colpito per inviare il medesimo messaggio fraudolento.
Questa catena permette ai cybercriminali di colpire un numero elevato di persone in breve tempo, sfruttando il rapporto di vicinanza tra il mittente (inconsapevole) e il ricevente.
Gli agenti sottolineano che il messaggio appare autentico proprio perché proviene da persone fidate, le quali hanno però già perso l’accesso al proprio profilo.
Prevenzione e misure di sicurezza consigliate
Le autorità competenti invitano la cittadinanza alla prudenza per evitare la compromissione dei dati personali. La regola principale consiste nel non condividere mai i codici ricevuti tramite SMS, neppure se richiesti da parenti o colleghi.
“Mai condividere i codici ricevuti via SMS, nemmeno se richiesti da contatti fidati e attivare la verifica in due passaggi per proteggere il proprio account”, spiegano gli esperti della Sicurezza Cibernetica.
Questa funzione aggiuntiva richiede un PIN personale creato dall’utilizzatore, rendendo l’accesso impossibile ai terzi anche in possesso del codice OTP.
Procedure di emergenza in caso di furto
Qualora il profilo risultasse già compromesso, i funzionari suggeriscono una serie di azioni immediate. È fondamentale avvertire tempestivamente la propria rete di contatti, utilizzando canali alternativi come post sui social media o telefonate, per impedire che altri aderiscano alla truffa. Successivamente, è necessario sporgere denuncia presso le forze dell’ordine per documentare l’accaduto e facilitare le indagini sulla rete dei truffatori.
Il nuovo volto del phishing: così un finto allarme svuota il conto in pochi minuti
Ma cosa possono fare i truffatori una volta che prendono il controllo del vostro telefonino? Vediamo solo un esempio.
La più surreale esperienza di truffa online delle cronache recenti l’ha riportata ieri il Corriere, raccontando la storia emblematica di Bianca M., vittima di un’operazione di ingegneria sociale talmente raffinata da poter ingannare anche l’utente più esperto.
Il caso, culminato in un furto di oltre 28 mila euro, svela un meccanismo criminale che trasforma lo smartphone (ci risiamo) in un’arma contro il suo stesso proprietario.
Tutto inizia con una telefonata. Sul display appare il numero reale della propria banca: è la tecnica dello spoofing, che permette ai criminali di mascherare l’identità del chiamante. Dall’altro lato, un sedicente operatore anti-frode comunica, con tono pacato e professionale, che sono in corso pagamenti sospetti. Per rendere il racconto credibile, il truffatore snocciola dati reali: indirizzo di residenza, numeri parziali delle carte e persino la domanda segreta.
Il “cavallo di Troia” digitale
Il cuore del raggiro scatta quando la vittima, convinta di collaborare per bloccare il conto, accetta di “certificare il dispositivo”. In realtà, leggendo a voce i codici ricevuti via SMS, Bianca ha inconsapevolmente consegnato le chiavi della sua identità digitale. Con quei codici, gli hacker:
-
Autorizzano un nuovo dispositivo (il loro) per operare sull’app di home banking.
-
Impostano l’inoltro di chiamata, rendendo il telefono della vittima irraggiungibile per le vere verifiche della banca.
-
Aumentano i massimali delle carte di credito, superando di gran lunga la liquidità effettiva del conto.
Un furto oltre i limiti del saldo
Il paradosso di questa vicenda è che il furto è avvenuto per cifre che la vittima non possedeva fisicamente. Sfruttando la vulnerabilità dei sistemi che permettono l’innalzamento istantaneo del plafond e il disinvestimento di fondi, i criminali hanno dirottato 28.010 euro verso conti esteri (Revolut) prima che Bianca potesse accorgersi di nulla.
Nonostante la denuncia, la battaglia si sposta ora sul piano legale: la banca contesta la “custodia non conforme” delle credenziali, mentre la difesa punta il dito sulla facilità con cui il sistema ha permesso operazioni così anomale in tempi rapidissimi. La lezione per tutti è drastica: nessuna banca chiederà mai codici di accesso o autorizzazioni via telefono.