Come difendersi dalle truffe con codice su WA

Torna ciclicamente, cambia forma e continua a mietere vittime: stiamo parlando di uno dei raggiri più diffusi degli ultimi anni, la truffa del codice a 6 cifre su WhatsApp. Colpisce perché sfrutta due elementi molto potenti: la fiducia che riponiamo nei nostri contatti e i meccanismi di sicurezza stessi dell’app che, con oltre tre miliardi di utenti nel mondo, resta un obiettivo privilegiato per i cybercriminali, il cui scopo è indurre le persone con l’inganno a consegnare spontaneamente le chiavi del proprio account.

Il meccanismo. La truffa segue uno schema semplice e collaudato. Inizia con la ricezione di un messaggio da parte di un contatto presente nella propria rubrica, contatto che, però, è già stato hackerato dal malintenzionato, il quale ha a disposizione lo storico delle chat con la vittima per compiere il suo inganno al meglio. Per questo, spesso il testo ha un tono rassicurante e personalizzato, per esempio: “Ciao France’, ti dovrebbe essere arrivato un codice per sbaglio da WhatsApp, puoi rimandarmelo?“.

Poco dopo, o in contemporanea, sul telefono viene ricevuto un SMS con un codice numerico di sei cifre. Quel codice arriva direttamente da WhatsApp, è quello di verifica necessario per attivare l’account su un nuovo dispositivo, e a generarlo è l’app stessa, ma a innescarne l’invio è stato il truffatore, che ha avviato la procedura di accesso inserendo il numero della vittima su un altro smartphone. In altre parole, il criminale non vede quel codice e non può intercettarlo: può solo convincere la vittima a girarglielo. Se ciò accade, il sistema di sicurezza dell’app viene scavalcato dall’interno e l’account passa immediatamente sotto il controllo del malintenzionato, escludendo il legittimo proprietario.

Il punto debole. A questo punto sorge spontanea una domanda: come ha fatto il truffatore a impossessarsi dell’account dell’amico che scrive per primo? Nella maggior parte dei casi, esattamente con lo stesso meccanismo. La truffa si propaga a catena: una prima vittima cede il codice a sei cifre, perde l’accesso al proprio profilo e diventa, suo malgrado, il cavallo di Troia perfetto per colpire altri contatti. A monte, però, l’origine è ancora più banale: uno smartphone rubato o smarrito, privo di un blocco schermo efficace, oppure protetto da un PIN debole o facilmente intuibile.

Il danno. Quando la truffa va a buon fine, il danno è immediato: il legittimo proprietario viene estromesso dall’account, mentre il malintenzionato ottiene accesso completo a chat, foto, vocali e rubrica.

Da lì può continuare a diffondere la stessa richiesta di “codice inviato per errore”, oppure spingersi oltre, inoltrando link malevoli, richieste di denaro o messaggi costruiti su misura sfruttando informazioni personali reali. Nei casi peggiori, l’account può essere sequestrato per lungo tempo, con la modifica dei dati di recupero, rendendo così necessario l’intervento dell’assistenza o la denuncia alle autorità.

Come difendersi. La protezione più efficace è anche la più semplice: non condividere mai i codici di controllo, nemmeno con persone conosciute. Un codice a 6 cifre ha senso solo per chi lo richiede in prima persona e in quel preciso momento. È fondamentale attivare la verifica in due passaggi di WhatsApp, che aggiunge un PIN personale richiesto in fase di registrazione del numero, e abilitare le notifiche di sicurezza, che avvisano quando cambiano le chiavi crittografiche di un account.

In caso di furto, è necessario tentare subito il ripristino su un nuovo dispositivo inserendo il proprio numero e, se non basta, procedere alla disattivazione e alla segnalazione, avvisando i contatti per spezzare la catena. La truffa funziona solo finché c’è qualcuno che abbassa la guardia mentre, per interromperne il meccanismo, basterebbe semplicemente non fare nulla.