Navigaweb

Truffa WhatsApp col numero clonato dell'amico e come evitarla

Aggiornato il: Scritto Da: - @pomhey
Ricevere link strani da amici fidati è un classico delle truffe su WhatsApp. Scopriamo come riprendere il controllo del profilo e blindarlo
SIM Swap

Arriva un messaggio su WhatsApp da un amico o da un parente. Il testo è strano, magari chiede un favore urgente, un prestito veloce o contiene un link a un'offerta troppo bella per essere vera. Appena proviamo a chiedere spiegazioni, l'altra persona ci risponde (magari tramite una chiamata o un altro social) che non è stata lei e che qualcuno le ha clonato il numero. Inizia quindi il panico: si pensa a hacker esperti che hanno duplicato la scheda telefonica o a software spia invisibili. In realtà, la storia è molto più semplice e, purtroppo, quasi sempre colpa di una piccola distrazione. Non servono i computer della NASA per rubare un account, basta un po' di furbizia e l'ingenuità di chi risponde.

LEGGI ANCHE: Riconoscere e-mail false, con truffa, non autentiche.

Il trucco del codice rubato e il mito della clonazione

Dobbiamo fare subito una precisazione: nella maggior parte dei casi, la SIM non è stata clonato. Clonare una scheda telefonica oggi è un'operazione complicata e costosa. Quello che succede è che il truffatore ha semplicemente rubato l'accesso all'applicazione. Il metodo è sempre lo stesso. La vittima riceve un SMS con un codice di verifica a sei cifre. Poco dopo, un "amico" (che in realtà è già stato hackerato) scrive dicendo di aver mandato quel codice per sbaglio al numero sbagliato e chiede gentilmente di inoltrarglielo.

Nel momento in cui l'utente copia e incolla quel codice, sta letteralmente consegnando le chiavi di casa al ladro. Quel numero infatti serve a WhatsApp per confermare che chi sta installando l'app su un nuovo telefono sia il vero proprietario. In un istante, l'app sul telefono della vittima si chiude e l'account si sposta sul dispositivo del truffatore. A quel punto, il malintenzionato ha l'elenco di tutti i contatti e inizia a mandare la stessa trappola a ogni singola persona in rubrica, sperando di trovare un'altra vittima pronta a regalare il proprio codice.

L'inganno del QR code e i computer spia

C'è un altro modo per entrare in un profilo senza che l'utente se ne accorga subito. Avete presente quando usiamo WhatsApp Web per scrivere dal PC? I truffatori usano questa funzione creando falsi premi o sconti incredibili. Chiedono all'utente di inquadrare un QR code con la fotocamera di WhatsApp per "ricevere il premio".

Inquadrare quel codice non attiva nessun premio, ma autorizza l'accesso dell'hacker al profilo tramite un browser. La cosa pericolosa è che in questo caso l'app sul telefono continua a funzionare normalmente. L'utente non riceve alcun avviso di disconnessione, ma nel frattempo c'è un estraneo che legge le chat in tempo reale e scrive messaggi a nome suo. È come se qualcuno avesse installato una telecamera nascosta in salotto: voi vivete la vostra vita normalmente, ma c'è chi guarda e agisce nell'ombra.

Come cacciare via l'intruso e riprendere i comandi

Se vi accorgete che qualcuno sta usando il vostro account, la prima cosa da fare è andare nelle impostazioni dell'app e cercare la voce Dispositivi collegati. Se vedete un computer o un browser che non conoscete, cliccateci sopra e selezionate Disconnetti. Questo chiude all'istante ogni sessione aperta su altri PC.

Se invece siete stati buttati fuori dall'app e vi viene chiesto di registrarvi di nuovo, fatevi strada con calma. Inserite il vostro numero e attendete l'SMS di verifica. Una volta inserito il codice, l'account tornerà vostro e chiunque lo stesse usando su un altro telefono verrà espulso automaticamente.

Per evitare che succeda di nuovo, bisogna attivare la verifica in due passaggi. Seguire la rotta di Navigaweb qui significa fare un passo in più: non limitatevi a scegliere un PIN a sei cifre, ma assicuratevi di inserire un indirizzo email di recupero valido. Perché è importante? Perché i truffatori, una volta entrati, spesso impostano un loro PIN per bloccarvi l'accesso per diversi giorni. Se avete collegato la vostra email, potete resettare quel PIN in pochi secondi e rientrare nel profilo senza dover aspettare i tempi di sblocco di sistema.

Cosa succede davvero ai dati e alle chat

  • Le vecchie conversazioni spariscono? Se il ladro ha rubato l'account registrandolo su un nuovo telefono, non può leggere i vostri vecchi messaggi. Lo storico delle chat è salvato nel backup di Google Drive o su iCloud, e per scaricarlo servirebbe la password del vostro account email, non solo il numero di telefono.
  • E se sono entrati via QR code? In questo caso la situazione è peggiore. Chi entra via WhatsApp Web può vedere tutto ciò che è scritto nelle chat aperte e scaricare foto o documenti recenti.
  • I contatti sono a rischio? Il truffatore vede i numeri di telefono di chi vi scrive o dei gruppi in cui siete inseriti, ma non può scaricare l'intera rubrica salvata nella memoria fisica dello smartphone.
  • L'importanza dell'allarme. Se vi accorgete del furto, non limitatevi a recuperare l'account. Fate una telefonata o pubblicate una storia su Instagram per avvisare tutti che il vostro profilo è stato compromesso. È l'unico modo per fermare la catena di truffe prima che qualcuno mandi soldi a un estraneo.

Diario di bordo di Navigaweb

Ho visto troppe persone disperarsi pensando di essere state vittima di un attacco informatico di livello militare, quando in realtà bastava un po' di attenzione a un banale SMS. Una volta mi è successo con un collega che, convinto di aiutare un amico, ha passato il codice di verifica senza nemmeno pensarci. La cosa che trovo più irritante è che molti continuano a pensare che "non possa succedere a loro" perché non hanno segreti da nascondere. Non si tratta di privacy, ma di sicurezza. Il mio consiglio spassionato è questo: se un contatto vi chiede un codice, un favore economico strano o vi manda un link sospetto, non rispondete in chat. Fate una telefonata veloce. Sentire la voce della persona dall'altra parte del filo è l'unico antivirus che funziona davvero contro l'ingegneria sociale. Una volta che avete attivato il PIN a due passaggi con l'email di recupero, potete dormire sonni tranquilli, sapendo che anche se qualcuno riuscisse a rubarvi il codice SMS, rimarrebbe comunque fermo davanti a un muro.





Posta un commento