WhatsApp, la truffa 2FA è tornata ed è pericolosa
Un meccanismo di sicurezza di WhatsApp può essere usato per truffare gli utenti, con conseguenze molto gravi.
Con oltre 2 miliardi di utenti nel mondo WhatsApp è da anni il posto ideale per far girare truffe di ogni tipo. Da qualche giorno, ad esempio, ne è tornata in voga una che era apparsa per la prima volta l’anno scorso e aveva avuto una prima fiammata ad aprile, durante il primo lockdown.
Si tratta della truffa del secondo fattore di autenticazione (2FA), meglio nota come truffa del codice a 6 cifre. Rispetto alle altre truffe che girano sulla piattaforma di messaggistica questa è diversa per due motivi: il primo è che sfrutta un meccanismo di sicurezza di WhatsApp, il secondo è che lo scopo finale è quello di impossessarsi del profilo stesso della vittima. Inoltre, si tratta di una truffa "di secondo livello", perché per avere successo la si deve eseguire da un profilo già hackerato. Insomma, si tratta di qualcosa non alla portata di tutti e, proprio per questo, di particolarmente pericoloso.
Come funziona la truffa 2FA di WhatsApp
Questa truffa sfrutta il meccanismo legittimo previsto per cambiare numero su WhatsApp, che prevede l’invio di un codice di conferma al nuovo numero come secondo fattore di autenticazione (detto anche OTP: One Time Password). Si tratta di un PIN numerico a sei cifre, inviato tramite SMS.
La truffa funziona così: se un hacker è riuscito a prendere il controllo di un profilo WhatsApp che è tra i nostri contatti può tentare di prendere il controllo anche del nostro (o di uno qualunque dei contatti della prima vittima). Basta lanciare la procedura di cambio numero su WhatsApp e inserire come nuovo numero il nostro. A questo numero, cioè il nostro, verrà mandato l’SMS di conferma che contiene il codice a 6 cifre e anche un link. Per confermare la "portabilità" di WhatsApp l’hacker deve ricevere questo codice, o deve convincerci a fare tap su quel link.
Per questo, dal profilo (che era) del nostro contatto, ci invia un messaggio in cui afferma di aver mandato un codice per sbaglio al nostro numero e ci chiede di rimandarglielo. Se noi lo facciamo, però, lui lo può inserire sul suo smartphone e nel giro di pochi secondi prende possesso del nostro account WhatsApp.
Da quel momento in poi non può leggere i messaggi precedenti, ma può accedere a tutti i nostri gruppi e chattare con tutti i nostri contatti a nome nostro, senza che nessuno abbia modo di capire che non siamo noi. Eventualità decisamente preoccupante.
Come difendersi dalla truffa WhatsApp del codice a 6 cifre
La stessa WhatsApp, nelle pagine del suo help online, invita gli utenti a diffidare di questi messaggi. In occasione dell’invio dell’SMS WhatsApp manda anche una notifica sullo smartphone bersaglio: "E’ stato richiesto il codice di registrazione WhatsApp per il tuo numero di telefono".
Tutto ciò è assolutamente insufficiente per mettere in guardia gli utenti da questa truffa e, di sicuro, WhatsApp dovrebbe studiare una procedura che renda più chiari i tentativi di furto del profilo.
Fintanto che tale procedura non sarà messa in atto, però, l’unico modo che ha l’utente di difendersi è informarsi e fare due cose: la prima è non comunicare mai il codice ricevuto, la seconda è contattare immediatamente via telefono la persona dal cui profilo WhatsApp è arrivato il messaggio.
Questo perché tale profilo è certamente stato rubato e non è detto che il legittimo proprietario se ne sia accorto. E, fintanto che non se ne accorge, l’autore del furto del profilo può continuare a usarlo per i suoi scopi illeciti.