Negli ultimi mesi ha preso piede una tecnica di phishing per penetrare i profili Whatsapp che si nasconde dietro l’apparenza innocua di un (magari divertente) sondaggio o di un concorso online. La vittima riceve un messaggio, spesso da un contatto noto, che invita a cliccare su un link e a inserire il proprio numero di telefono per partecipare a una votazione o a un test. Oppure ci casca da sola, incappando sui social network in inserzioni e sponsorizzazioni che propongono proprio la partecipazione a un sondaggio, a un concorso o a una votazione online. Guarda caso l’iscrizione richiede sempre la validazione tramite il proprio numero di telefono.
Quale che sia l’origine del meccanismo, subito dopo viene chiesto di digitare un codice a otto cifre, presentato come passaggio necessario per validare la registrazione. In realtà quel codice – che va inserito alla voce Dispositivi collegati, e dunque dovrebbe insospettire non poco fin dall’inizio - è lo stesso che WhatsApp genera per autorizzare l’accesso a un nuovo dispositivo tramite la versione web o desktop del servizio. C’è da aggiungere altro?
Il meccanismo è subdolo: il truffatore avvia da remoto la procedura per collegarsi all’account della vittima e attende che il codice venga inserito sul sito del falso sondaggio. In questo modo non prende possesso dell’utenza ma riesce comunque a entrare da una porta laterale. Una volta attivata la sessione parallela può naturalmente leggere le conversazioni, scaricare i media e raccogliere informazioni personali con cui minacciare o estorcere la vittima. E sfruttare quelle informazioni per altri tipi di truffe o inganni, con una gamma di azioni potenzialmente sterminata. Basti pensare a tutto ciò che di delicato transita dalle nostre conversazioni digitali.
