Un meccanismo di sicurezza di WhatsApp può essere usato per truffare gli utenti, con conseguenze molto gravi.
Con oltre 2 miliardi di utenti nel mondo WhatsApp è da anni il posto ideale per far girare truffe di ogni tipo. Da qualche giorno, ad esempio, ne è tornata in voga una che era apparsa per la prima volta l’anno scorso e aveva avuto una prima fiammata ad aprile, durante il primo lockdown.
Si tratta della truffa del secondo fattore di autenticazione (2FA), meglio nota come truffa del codice a 6 cifre. Rispetto alle altre truffe che girano sulla piattaforma di messaggistica questa è diversa per due motivi: il primo è che sfrutta un meccanismo di sicurezza di WhatsApp, il secondo è che lo scopo finale è quello di impossessarsi del profilo stesso della vittima. Inoltre, si tratta di una truffa “di secondo livello“, perché per avere successo la si deve eseguire da un profilo già hackerato. Insomma, si tratta di qualcosa non alla portata di tutti e, proprio per questo, di particolarmente pericoloso.
Come funziona la truffa 2FA di WhatsApp
Questa truffa sfrutta il meccanismo legittimo previsto per cambiare numero su WhatsApp, che prevede l’invio di un codice di conferma al nuovo numero come secondo fattore di autenticazione (detto anche OTP: One Time Password). Si tratta di un PIN numerico a sei cifre, inviato tramite SMS.
La truffa funziona così: se un hacker è riuscito a prendere il controllo di un profilo WhatsApp che è tra i nostri contatti può tentare di prendere il controllo anche del nostro (o di uno qualunque dei contatti della prima vittima). Basta lanciare la procedura di cambio numero su WhatsApp e inserire come nuovo numero il nostro. A questo numero, cioè il nostro, verrà mandato l’SMS di conferma che contiene il codice a 6 cifre e anche un link. Per confermare la “portabilità" di WhatsApp l’hacker deve ricevere questo codice, o deve convincerci a fare tap su quel link.
Per questo, dal profilo (che era) del nostro contatto, ci invia un messaggio in cui afferma di aver mandato un codice per sbaglio al nostro numero e ci chiede di rimandarglielo. Se noi lo facciamo, però, lui lo può inserire sul suo smartphone e nel giro di pochi secondi prende possesso del nostro account WhatsApp.
Da quel momento in poi non può leggere i messaggi precedenti, ma può accedere a tutti i nostri gruppi e chattare con tutti i nostri contatti a nome nostro, senza che nessuno abbia modo di capire che non siamo noi. Eventualità decisamente preoccupante.
Come difendersi dalla truffa WhatsApp del codice a 6 cifre
La stessa WhatsApp, nelle pagine del suo help online, invita gli utenti a diffidare di questi messaggi. On the occasion of sending the SMS WhatsApp also sends a notification on the target smartphone: "You have been asked for the WhatsApp registration code for your phone number".
All this is absolutely insufficient to warn users against this scam and, for sure, WhatsApp should study a procedure that makes the attempts of profile theft clearer.
Until such a procedure is put in place, however, the only way the user has to defend himself is to inform himself and do two things: the first one is never to communicate the code received, the second one is to immediately contact by phone the person from whose WhatsApp profile the message arrived.
This is because such a profile has certainly been stolen and it is not certain that the legitimate owner has noticed. And, as long as he does not notice it, the author of the profile theft can continue to use it for his illegal purposes.