WhatsApp: nuova truffa del finto sondaggio per rubare gli account. Ecco come funziona (e come proteggersi)

È sbarcata una nuova truffa su WhatsApp. Un finto sondaggio o concorso convince a votare e a inserire un codice a 8 cifre, inviato dai cyber criminali. Ed ecco fatto utenza rubata e scatta la truffa.

Come funziona

L’inganno parte sempre da un’esca convincente: un concorso che promette premi, un sondaggio su temi popolari o una votazione apparentemente innocua. Il messaggio arriva spesso via chat, da un contatto che si ha in rubrica e che a sua volta è stato ingannato, oppure compare sui social con inserzioni sponsorizzate. Si viene invitati a inserire il proprio numero di telefono per partecipare. Subito dopo, arriva un codice a otto cifre con l’indicazione di digitarlo nella sezione “Dispositivi collegati” di WhatsApp. È qui che scatta la trappola. Quel codice, in realtà, è lo stesso che serve per autorizzare l’accesso da un nuovo dispositivo su WhatsApp Web o Desktop. Se si inserisce il codice il truffatore ottiene una sessione parallela dell’account. Non lo sottrae, ma ne condivide il controllo. Quindi può leggere chat in tempo reale, scaricare foto e video e sfruttare le informazioni raccolte per ricatti o frodi. E tutto avviene in modo silenzioso ed è difficile accorgersene in tempi brevi. La truffa fa leva su due processi psicologici. La fiducia, il messaggio di solito arriva da una persona che si conosce, che si ha in rubrica. E l’urgenza, il premio o la votazione richiede di fare in fretta, senza pensare troppo.

Come difendersi dalle frodi digitali

Per non cadere nella trappola è bene ricordarsi che WhatsApp non chiede mai di inserire codici per partecipare a concorsi o votazioni: qualsiasi richiesta in tal senso deve far scattare l’allarme. Allo stesso modo, siti che promettono premi o vantaggi in cambio del numero di telefono vanno trattati con diffidenza. Gli esperti di sicurezza consigliano alcune misure di sicurezza preventive. Innanzitutto, controllare regolarmente la lista dei dispositivi collegati al proprio profilo: su iPhone e Android è possibile farlo dalle impostazioni, e disconnettere eventuali sessioni non riconosciute. È utile poi attivare la verifica in due passaggi, con l’inserimento di un PIN. Infine, avere sempre un atteggiamento critico verso messaggi insoliti e link ricevuti da fonti non verificabili resta la difesa più sicura.