News

WhatsApp: la nuova truffa del codice a 6 cifre

“Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”. È il messaggio usato nell’ultimo tentativo di truffa via WhatsApp per impadronirsi degli account del malcapitato. Se ti è arrivato, non rispondere: si tratta infatti del codice univoco a sei cifre necessario ad ultimare la procedura per il trasferimento rapido dell’app di messaggistica. Ecco come funziona la truffa.

23 febbraio 2021
whatsapp truffa codice sei cifre

I truffatori informatici hanno di recente messo a punto una nuova trappola che può consentire a un malfattore di impossessarsi del WhatsApp della vittima e usarlo impersonandone l’identità. Questo può portare a numerosi problemi che è facile immaginare, sia personali sia economici. Ma vediamo nel dettaglio come funziona, come proteggersi e cosa fare nel caso si sia stati vittime di questo attacco.

Si sfrutta la procedura per il cambio telefono

La truffa sfrutta le procedure di WhatsApp in caso di cambio telefono. Quando cambi telefono, infatti, cosa fai? Togli la schedina Sim dal vecchio telefono e la inserisci in quello nuovo, portando così il tuo solito numero di telefono sul nuovo apparecchio. Poi installi WhatsApp sul nuovo telefono: per verificare che sei davvero chi affermi di essere, Whatsapp invia un messaggio al tuo numero di telefono, contenente un codice di sei cifre. Inserisci questo codice in WhatsApp e il gioco è fatto: WhatsApp capisce che tu sei veramente tu, e puoi ricominciare a usare WhatsApp anche sul nuovo telefono. Questa procedura serve per legare la tua identità al tuo numero di telefono: se un impostore volesse usare WhatsApp sul suo telefono facendo finta di essere te, dovrebbe prima di tutto richiedere il codice di conferma, ma questo codice arriverebbe sul tuo telefono e l’impostore resterebbe con un palmo di naso.

Come funziona la truffa

In che modo, allora, i malintenzionati provano a sfruttare questa procedura? Ti manderanno un messaggio che dice, più o meno, “Scusa, ho richiesto un codice a WhatsApp ma per sbaglio ho messo il tuo numero di telefono invece del mio. Potresti mandarmelo?”. A quel punto il malfattore proverà a installare il tuo WhatsApp sul suo telefono, e a te arriverà il codice di conferma. Se lo mandi alla persona che te lo ha chiesto (cioè il malfattore sotto mentite spoglie), lui lo inserirà nel suo telefono e così facendo prenderà possesso del tuo WhatsApp e potrà chattare con i tuoi contatti facendo finta di essere te.

Come proteggersi

L’immagine qui sotto mostra un reale tentativo di attacco: come si può notare il messaggio è sconclusionato al limite dell’incomprensibilità, il che rende più semplice respingerlo o anche semplicemente ignorarlo, anche perché si può semplicemente pensare a una persona che ha sbagliato numero. Ma il messaggio non è standard e in altri casi può essere scritto in italiano corretto.

truffa Whatsapp 

Talvolta, come nell’esempio, la richiesta di invio del codice arriva da mittenti sconosciuti, ma questo tipo di attacco è subdolo, perché una volta che è andato a buon fine lo si può sfruttare per inviare questa stessa richiesta a tutti i contatti della vittima e quindi è possibile che la richiesta di invio del codice arrivi da un mittente che conosciamo, il che rende più probabile cascarci. Che la richiesta arrivi da sconosciuti o amici, che sia sgrammaticata o no, la cosa da fare è sempre la stessa: non comunicare mai codici segreti o altri dati sensibili a nessuno. Se proprio ti viene il dubbio che sia davvero un tuo amico che sta chiedendo aiuto, telefonagli (e sottolineo: telefonagli, per sentire la sua voce, non limitarti a scrivergli).

Impara a difenderti: aumenta la protezione

Anche se non sei stato vittima dell’attacco, può essere l’occasione per aumentare le difese del tuo WhatsApp, utilizzando la verifica in due passaggi: si tratta di creare un Pin a sei cifre, che soltanto tu conosci, e che ti sarà richiesto quando installerai Whatsapp su un nuovo telefono. Per farlo, tocca Impostazioni dalla schermata principale, poi Verifica in due passaggi, poi Abilita. A questo punto inserisci il Pin a sei cifre e confermalo.

truffa Whatsapp  truffa Whatsapp 

Poi ti verrà richiesto un indirizzo email da usare nel caso tu dimentichi il Pin. Attenzione: l’indirizzo è indispensabile per recuperare il tuo account qualora dimenticassi il Pin, ma d’altro canto è un punto debole nella rete di protezione (se un malfattore si impossessa della tua email, potrà usarla per resettare il Pin): se sei sicuro di non dimenticare il Pin puoi saltare questo passaggio, a te la scelta.

Cosa fare se sei stato vittima dell’attacco

Capire se qualcuno si è impossessato del tuo WhatsApp è semplice: non riuscirai più a usarlo sul tuo telefono (perché, dal punto di vista di WhatsApp, quello è il tuo vecchio telefono. Il nuovo telefono è quello del malfattore). Sul sito ufficiale di WhatsApp trovi tutte le istruzioni su come rientrare in possesso del tuo profilo. WhatsApp sottolinea che i messaggi vengono archiviati sul tuo dispositivo, pertanto chi accede al tuo account da un altro dispositivo non può leggere le tue conversazioni precedenti, per cui almeno da questo punto di vista puoi stare tranquillo, ma certo chi ti ha attaccato in questo modo può lo stesso fare parecchi danni, quindi è importante riprendere possesso quanto prima del tuo profilo. Per farlo, accedi dal tuo telefono e ripeti le procedure di attivazione.

  • Se ti è andata bene, ti arriverà via Sms il codice a sei cifre: inseriscilo e tornerai a poter usare regolarmente WhatsApp. E chiunque stia usando il tuo account verrà automaticamente disconnesso.
  • Se invece il malfattore è stato più accorto e ha attivato la protezione a due fattori (vedi sopra), recuperare il tuo profilo sarà più complesso: ti troverai di fronte alla richiesta di inserire un Pin che non conosci. Ma non disperare: stando a quanto afferma WhatsApp, devi aspettare 7 giorni e ripetere la procedura di attivazione, con richiesta del codice via Sms: a quel punto “Indipendentemente dal fatto che tu conosca o meno questo codice, l'altro utente verrà disconnesso dal tuo account nel momento in cui inserisci il codice a 6 cifre ricevuto tramite Sms.”

In ogni caso, appena rientri in possesso del tuo profilo, ricorda di avvisare i tuoi contatti di quanto è accaduto e del fatto che potrebbero aver ricevuto messaggi non provenienti da te.