Il fenomeno dell’hacking di WhatsApp rappresenta una delle principali minacce per la sicurezza digitale degli utenti. Le modalità con cui cybercriminali riescono a compromettere un account WhatsApp sono molteplici, ma spesso si basano su tecniche di ingegneria sociale, la capacità di manipolare la vittima per carpire informazioni sensibili sfruttando la fiducia, l’ingenuità o la disattenzione.
Il meccanismo della truffa del codice a 6 cifre
La tecnica più diffusa e insidiosa per “rubare il numero” di WhatsApp ruota attorno al codice di verifica a 6 cifre che l’applicazione invia tramite SMS quando si tenta di attivare o trasferire un account su un nuovo dispositivo. La procedura si basa sul principio che solo chi dispone fisicamente del numero di telefono dovrebbe poter ricevere e utilizzare questo codice, garantendo così la sicurezza dell’account stesso.
Tuttavia, la vulnerabilità è legata proprio all’utente. Ecco come agiscono i truffatori:
- Innanzitutto, il malintenzionato avvia la richiesta di attivazione di WhatsApp usando il numero di telefono della vittima su un proprio smartphone.
- Il sistema di WhatsApp, rilevando una nuova attivazione, spedisce il codice di verifica a 6 cifre tramite SMS direttamente al numero della vittima.
- A questo punto entra in gioco la social engineering: il truffatore, spesso impersonando un amico o un servizio di assistenza, contatta la vittima fingendo di avere bisogno di quel codice per svariati motivi. Alcuni esempi di messaggi sono richieste apparentemente innocue come: “Ciao, ho per sbaglio inviato un codice al tuo numero, potresti rimandarmelo?”
- Se la vittima cade nel tranello e comunica il codice, il cybercriminale completa la procedura sul proprio dispositivo, prendendo effettivo possesso dell’account WhatsApp della vittima.
Questo metodo, seppur semplice, si dimostra estremamente efficace a causa della frequente disattenzione o mancanza di consapevolezza digitale degli utenti. Non sono necessarie competenze da hacker per portare a termine questa truffa: basta un po’ di astuzia e la conoscenza di tecniche elementari di manipolazione psicologica.
Altre tecniche avanzate di attacco e spyware
Sebbene la truffa del codice a 6 cifre sia la più diffusa, esistono metodi tecnologici più sofisticati per tentare di compromettere un account WhatsApp:
- Spyware: Esistono software chiamati spyware che, se installati sullo smartphone della vittima, possono monitorare tutte le attività, intercettando messaggi e contenuti multimediali. Questi programmi richiedono però l’accesso fisico al device e sono considerati illegali nella maggior parte dei paesi.
- Sim Swap: Questa tecnica prevede la sostituzione della SIM. Il criminale convince l’operatore telefonico a trasferire il numero della vittima su una nuova scheda SIM in suo possesso. Così facendo, riceve SMS e chiamate indirizzate alla vittima, incluso il codice di verifica WhatsApp.
- Applicazioni e strumenti professionali: Alcune società pubblicizzano strumenti in grado di captare dati di WhatsApp tramite la raccolta di informazioni dalle comunicazioni Wi-Fi della vittima, come nel caso di CatchApp e WINT. Tali sistemi, a oggi non dimostrati praticamente come efficaci in contesti reali, necessitano comunque della vicinanza fisica al dispositivo target per poter “annusare” il traffico e rubare le informazioni di accesso.
- Spoofing: Il truffatore può inviare messaggi simulando l’identità di un contatto fidato tramite strumenti di falsificazione del mittente, aumentando così le probabilità che la vittima si fidi e condivida il codice richiesto.
I rischi dopo il furto dell’account
Quando un cybercriminale prende possesso di un profilo WhatsApp, le conseguenze possono essere molto gravi per la vittima:
- Il legittimo proprietario viene disconnesso da WhatsApp e non può più accedere all’account dal suo dispositivo.
- L’attaccante può esaminare la rubrica della vittima, i gruppi a cui è iscritta, vedere i contatti e tentare di perpetrare la truffa ai danni di persone nella rete della vittima usando lo stesso inganno.
- Se la vittima è amministratore di un gruppo, l’attaccante può modificarne il nome, eliminarlo o allontanare membri.
- Il criminale può inviare messaggi ai contatti della vittima per carpire ulteriori dati personali o per estorcere denaro, sfruttando la credibilità derivante dal trovarsi all’interno di una chat con un contatto apparentemente fidato.
È importante sottolineare che, almeno inizialmente, il criminale non potrà leggere le chat pregresse, poiché queste sono salvate localmente sul dispositivo e non vengono trasferite con la semplice procedura di cambio numero. Tuttavia, la pagina dei gruppi e le impostazioni dell’account saranno completamente accessibili all’attaccante, rendendo ancora più insidiosa questa minaccia.
Modalità di difesa efficaci
Per proteggersi dagli attacchi sopra descritti è fondamentale mettere in atto alcune semplici ma efficaci strategie di sicurezza digitale:
- Mai condividere il codice a 6 cifre: Nessuna persona o servizio ufficiale di WhatsApp richiederà mai il codice di verifica attraverso altri canali. Bisogna ignorare e segnalare qualsiasi richiesta sospetta di questo tipo.
- Abilitare la verifica in due passaggi: WhatsApp offre la possibilità di aggiungere un secondo livello di protezione mediante un ulteriore PIN a 6 cifre, che viene richiesto quando si installa l’app su un nuovo dispositivo. Questo impedisce a persone non autorizzate di attivare l’account anche nel caso in cui riescano a ottenere il codice di verifica iniziale.
- Mantieni il controllo della SIM: In caso di perdita o furto del telefono, avvisa immediatamente l’operatore telefonico per bloccare la SIM ed evitare attacchi di tipo Sim Swap.
- Diffida dei messaggi sospetti: Anche se provengono da contatti conosciuti. È buona prassi contattare telefonicamente la persona per sincerarsi dell’autenticità della richiesta.
- Aggiorna regolarmente le app: Gli sviluppatori rilasciano spesso patch di sicurezza fondamentali per proteggere dagli exploit più recenti.
- Monitora le autorizzazioni delle app: Non installare applicazioni sconosciute o sospette che potrebbero veicolare spyware. Ricorda che i software spia sono strumenti illegali e pericolosi anche per chi li utilizza.
Infine, è essenziale comprendere la differenza tra sistemi di crittografia come la crittografia end-to-end e le tecniche di attacco che puntano sull’anello debole del sistema, ovvero l’utente stesso. Sebbene i messaggi siano “sigillati” tra mittente e destinatario, nessun sistema tecnico può difendere dalla trasmissione consapevole o involontaria dei dati d’accesso da parte dell’utente.
Nel contesto delle minacce digitali attuali, la consapevolezza e la prevenzione restano armi fondamentali per difendersi dalla perdita del proprio numero e del controllo del profilo WhatsApp. La formazione in ambito cybersecurity non riguarda solo le aziende, ma ogni individuo che usa quotidianamente gli strumenti digitali. Solo conoscendo in dettaglio le tecniche di attacco sarà possibile riconoscerle per tempo e agire di conseguenza.
