Ultime Notizie

martedì 3 novembre 2020

Come difendersi dalla truffa Whatsapp del codice a 6 cifre


Nelle ultime ore si ha evidenza di nuovi tentativi di furto dei profili WhatsApp mediante la truffa del codice di verifica a 6 cifre. Si presenta con un messaggio che arriva da uno dei nostri contatti, “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”.

Il truffatore può impadronirsi di un profilo WhatsApp e dei relativi gruppi, modificando volendo anche nome e foto dell’account, mettendo successivamente in atto, secondo un processo a catena, la stessa truffa contro i componenti delle conversazioni in comune.

L’utente viene attaccato con il messaggio, che appare su WhatsApp da parte di uno dei nostri contatti in rubrica, “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”. Se lo mandiamo scatta il furto del profilo.


Si tratta infatti del codice dell’autenticazione a due fattori, che non dobbiamo dare a nessuno per nessun motivo. Il nostro contatto in rubrica ci ha mandato involontariamente quel messaggio perché è caduto nella truffa, la quale permette ai criminali di sfruttarne il profilo per mandare quel messaggio ad altri contatti, in una sorta di catena di sant’Antonio automatica.

Il meccanismo con il quale può essere attuata la truffa è abbastanza semplice e sfrutta le ben note tecniche d’ingegneria sociale oltre ad una funzionalità legittima di WhatsApp: la funzione “cambia numero” che prevede una verifica con codice di 6 cifre trasmesso via SMS.

Il criminal hacker entrato in possesso dell’account diventa a tutti gli effetti proprietario del profilo e delle impostazioni personalizzate. Potrà, quindi, vedere i gruppi e i numeri di telefono dei partecipanti (anche se non potrà vedere i contenuti delle chat singole e di gruppo; qualora la vittima sia amministratore di un gruppo potrà eliminarlo o cambiarne nome) che potranno essere usati per propinare la stessa truffa.

Se a questo si aggiunge anche che utilizzando la funzione “cambia numero” è possibile avvisare i contatti del cambio avvenuto, succede che gli ignari contatti aggiungendo un numero sconosciuto alla propria rubrica agevoleranno ancor di più, di fatto, il lavoro del criminal hacker che così troverà nuovi gruppi e quindi nuovi numeri da carpire.

In teoria il criminale potrebbe anche cambiare il numero dell’autenticazione a due fattori e sequestrare il profilo, chiedendone poi un riscatto.

Non risultano a momento exploit specifici utilizzati per questa truffa, tuttavia.

Per prevenire l’eventualità di cadere vittima della cosiddetta “truffa del codice a 6 cifre” su WhatsApp è sufficiente seguire delle buone regole e attivare delle funzionalità di sicurezza aggiuntive messe a disposizione dalla stessa app di messaggistica:

-non condividere mai con altri il codice di verifica a 6 cifre;
-non condividere con nessuno informazioni personali;
-prestare attenzione quando si ricevono richieste inaspettate e insolite;
-abilitare le notifiche di sicurezza (che consentono di ricevere una notifica ogni volta che un contatto cambia il codice di accesso a 6 cifre) e la verifica a due passaggi (che richiede l’inserimento di un PIN personale ogniqualvolta che si effettua la registrazione del proprio numero di telefono su WhatsApp).

Per abilitare le notifiche di sicurezza e la verifica in due passaggi è necessario accedere al proprio profilo WhatsApp e attivare le seguenti voci di menu:

in Impostazioni/Account/Sicurezza selezionare l’opzione Mostra notifiche di sicurezza;
da Impostazioni/Account/Verifica in due passaggi procedere all’attivazione della funzione.


Se invece siamo già rimasti vittima della truffa, possiamo in un attimo recuperare il controllo del profilo facendo mandare a WhatsApp un nuovo codice al nostro cellulare.

In questo caso, è sufficiente riprovare l’accesso al proprio account WhatsApp e quindi inserire di nuovo il nostro numero di telefono (nella speranza che il truffatore non abbia già cambiato il numero associato e fatto altri danni). Ci arriverà un codice sul cellulare e l’accesso sarà ripristinato in automatico, come quando cambiamo cellulare.

Nessun commento:

Posta un commento