Da qualche settimana gira su WhatsApp la truffa del codice di verifica a 6 cifre che consente a criminal hacker di rubare i profili delle ignare vittime. Il truffatore può impadronirsi di un profilo WhatsApp e dei relativi gruppi, modificando volendo anche nome e foto dell’account, mettendo successivamente in atto, secondo un processo a catena, la stessa truffa contro i componenti delle conversazioni in comune.
L’utente viene attaccato con il messaggio, che appare su Whatsapp da parte di uno dei nostri contatti in rubrica, “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”. Se lo mandiamo scatta il furto del profilo. Si tratta infatti del codice dell’autenticazione a due fattori, che non dobbiamo dare a nessuno per nessun motivo. Il nostro contatto in rubrica ci ha mandato involontariamente quel messaggio perché è caduto nella truffa, la quale permette ai criminali di sfruttarne il profilo per mandare quel messaggio ad altri contatti, in una sorta di catena di sant’Antonio automatica.
Casi di truffa attraverso WhatsApp erano emersi nei mesi scorsi. Nonostante sia passato diverso tempio raggiri di questo genere si ripresentano ciclicamente Il meccanismo con il quale può essere attuata la truffa è abbastanza semplice e sfrutta le ben note tecniche d’ingegneria sociale oltre ad una funzionalità legittima di WhatsApp: la funzione “cambia numero” che prevede una verifica con codice di 6 cifre trasmesso via SMS. Attraverso tale funzione l ‘hacker inserisce come numero di telefono cellulare attuale quello di un contatto già compromesso presente nella rubrica della vittima; inserisce come nuovo numero quello della vittima, che riceverà secondo procedura un codice di 6 cifre via SMS sul proprio dispositivo; contemporaneamente, usando il profilo WhatsApp del contatto già compromesso, il truffatore provvederà a scrivere alla vittima un messaggio del tipo: “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”.
Puntando sulla buona fede, ingenuità e su un certo numero di tentativi “a strascico” (ogni volta, è infatti sufficiente concluderne uno con successo per poter continuare a perpetrare la truffa), l’attaccante riesce ad eseguire l’accesso con il numero della vittima e a prendere il possesso dell’account del legittimo proprietario, disconnettendolo automaticamente da WhatsApp e interdicendo la possibilità di riconnessione fintantoché ne detiene il possesso. L’hacker entrato in possesso dell’account diventa a tutti gli effetti proprietario del profilo e delle impostazioni personalizzate. Potrà, quindi, vedere i gruppi e i numeri di telefono dei partecipanti (anche se non potrà vedere i contenuti delle chat singole e di gruppo; qualora la vittima sia amministratore di un gruppo potrà eliminarlo o cambiarne nome) che potranno essere usati per propinare la stessa truffa.