WhatsApp, la richiesta del codice a 6 cifre serve a rubarti il profilo

Come ci si può difendere dall’ennesima truffa informatica

whatsapp hacker rubano profilo

Non è nuova, ma nelle ultime settimane ha ripreso a circolare. Parliamo della truffa riguardante WhatsApp e la possibilità, da parte di scaltri hacker, di rubare il profilo di qualsiasi utente.

Come ci si può appropriare del profilo di un utente WhatsApp

Ti ricordi cosa avevi dovuto fare quando hai installato WhatsApp sul tuo cellulare? La condizione indispensabile per poterlo usare era quella di indicare il numero del tuo cellulare dove avresti usato la app. Eseguita questa operazione, da WhatsApp ti è stato inviato, tramite SMS o chiamata, un codice di registrazione a 6 cifre, col quale hai completato l’iscrizione. Ed è proprio questo tipo di codici  che invia WhatsApp al centro della truffa architettata dagli hacker. In che modo?

Un codice di registrazione a 6 cifre viene inviato anche per la verifica e per il cambio del numero di telefono. In questo modo WhatsApp si assicura che il numero di telefono appartenga davvero al proprietario del numero stesso.

Cosa fanno, dunque, i truffatori? Usano tecniche di “social engineering” (“ingegneria sociale”, come è stata battezzata in italiano), ovvero tentano di carpire la buona fede, l’ingenuità, o banalmente un momento di distrazione delle potenziali vittime.

Tecnicamente, i criminali informatici fanno così:

1) conoscendo semplicemente il numero di telefono della vittima, inviano a WhatsApp, con questo numero, una richiesta di cambio numero di telefono

2) WhatsApp invia un codice a 6 cifre al numero della vittima. I truffatori si trovano a metà strada, adesso per loro è fondamentale impossessarsi di quel codice per impossessarsi dell’account della vittima. Ed è qui che…

3) …i criminali inviano un SMS in cui chiedono che questo codice gli venga inviato. In questo modo potranno attivare WhatsApp, su un altro smartphone (posseduto da loro), ma che si riferisce al numero di telefono della vittima. Di solito l’SMS contiene questo testo (o comunque un testo simile): “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?” . La vittima di solito ci casca e glielo rimanda davvero, perché l’SMS sembra provenire da una persona fidata (un amico, un parente etc.). Il numero di telefono di questa persona può essere carpito in tanti modi e circostanze.

A questo punto l’hacker avrà “chiuso il cerchio”. Avendo 1) il nostro numero e 2) il codice a 6 cifre si impossesserà del nostro profilo di WhatsApp, disconnettendoci (questo perché WhatsApp può essere usato da un solo numero di cellulare alla volta).

Quali sono le conseguenze

Il truffatore diventa il “proprietario” del profilo e può farci (quasi) quello che vuole. Può cambiare le impostazioni, inviare nuovi messaggi, cancellare i gruppi di cui si è amministratori o anche eliminare i gruppi stessi. Non può fortunatamente leggere le vecchie chat.

Ma la cosa più “interessante” che può fare è quella di vedere i numeri di telefono dei partecipanti ai gruppi: è questo il metodo che gli consente di trovare agevolmente nuove “vittime” per propagare la truffa, proprio come in una catena di Sant’Antonio.

WhatsApp, tra l’altro, con la funzione “cambia numero” consente di avvisare i contatti del cambio avvenuto. Se questi contatti aggiungono (nella più totale buona fede) questo numero sconosciuto, l’hacker avrà un altro modo per trovare altri numeri di telefono.

Consigli per evitare il furto del profilo WhatsApp

Il primo è quello di non inviare MAI a nessuno (anche se il mittente è conosciuto) il codice a 6 cifre: la richiesta può essere fatta solo da WhatsApp, ma solo se sei stato tu, in prima persona, a interagire con WhatsApp stesso.

Allo stesso modo, non cliccare MAI su nessun link presente in un SMS.

Poi, si possono mettere i bastoni fra le ruote degli hacker introducendo altri due livelli di sicurezza. Il primo consiste nell’abilitare le notifiche di sicurezza. Vai su Impostazioni, Account, Sicurezza e seleziona la voce Mostra notifiche di sicurezza.

Il secondo, nell’impostare la “Verifica in due passaggi”, tramite la quale WhatsApp chiederà un ALTRO PIN a sei cifre a chiunque (compreso te stesso) tenti di cambiare telefono e numero.

Per farlo, vai su Impostazioni, Account, Verifica in due passaggi.

Cosa fare se il furto del profilo è andato a buon fine

Innanzitutto, avvisa subito tutti i tuoi contatti dell’accaduto, in modo che non diventino inconsapevolmente vittime e protagonisti attivi della “catena”.

Per recuperare l’account, prova ad accedere a WhatsApp (eventualmente disinstallalo e reinstallalo) col tuo numero di telefono, accetta i termini di utilizzo (tocca “Accetta e continua”) e digita il tuo numero di telefono. Tocca Avanti, Ok, ed effettua la verifica del numero inserendo il codice a 6 cifre che hai appena ricevuto via SMS.

Inserito questo codice, chiunque stia usando il tuo account verrà automaticamente disconnesso. L’hacker che sta usando il tuo profilo potrebbe aver attivato la verifica in due passaggi: te ne accorgi subito se ti viene richiesto.

WhatsApp stabilisce che debbano passare 7 giorni prima che tu possa accedere senza digitare il codice della verifica in due passaggi. E comunque (sia che tu conosca o meno questo codice) il truffatore viene disconnesso dal tuo account quando tu inserirai il codice a 6 cifre ricevuto tramite SMS.

Un’ultima cosa: per comodità usi anche WhatsApp Web sul pc?  Se riesci ad accedere al tuo account, molto meglio che tu ti disconnetta da tutti i computer (qui le istruzioni per farlo).