Torna ciclicamente, cambia forma, si adatta. La truffa del codice a sei cifre su WhatsApp è uno di quei raggiri digitali che non muore mai, perché sfrutta qualcosa di molto più potente di qualsiasi vulnerabilità tecnica: la fiducia che riponiamo nelle persone che conosciamo. Con oltre tre miliardi di utenti nel mondo, WhatsApp resta un bersaglio privilegiato per i cybercriminali, e questo schema in particolare continua a mietere vittime proprio perché il suo punto debole non sta nell’app, ma in noi. Il meccanismo è semplice, quasi banale nella sua efficacia. Tutto inizia con un messaggio apparentemente innocuo da parte di un contatto presente nella tua rubrica. Magari un amico, un collega, un parente. Il tono è rassicurante, informale, personalizzato: “Ciao France’, ti dovrebbe essere arrivato un codice per sbaglio da WhatsApp, puoi rimandarmelo?“. Niente di allarmante, anzi. Sembra proprio il tipo di errore che può capitare a chiunque.
Poco dopo, o in contemporanea, sul tuo telefono arriva un SMS con un codice numerico di sei cifre. Proviene direttamente da WhatsApp ed è autentico: si tratta del codice di verifica necessario per attivare l’account su un nuovo dispositivo. Tutto sembra combaciare. Il tuo contatto ti ha avvisato, il codice è arrivato, ti sta solo chiedendo di rimandarglielo. Che male c’è? Ecco il punto: quel contatto che ti sta scrivendo non è più lui. O meglio, è il suo account, ma nelle mani di qualcun altro. Un malintenzionato che ha già preso il controllo del suo profilo e ora sta usando il suo nome, la sua foto, l’accesso alle vostre chat passate per convincerti a consegnare spontaneamente le chiavi del tuo account. Perché quel codice a sei cifre non serve a lui per recuperare qualcosa: serve al truffatore per entrare nel tuo WhatsApp.
-screenworld.it
Il criminale, infatti, non può vedere quel codice e non può intercettarlo. L’unica cosa che può fare è avviare la procedura di accesso inserendo il tuo numero su un altro smartphone, innescando l’invio del codice da parte di WhatsApp. Ma senza quel codice, non può completare l’operazione. Deve convincerti a darglielo. E ci riesce sfruttando la fiducia, il senso di normalità, la fretta con cui leggiamo i messaggi mentre facciamo altro. Se cedi e gli invii il codice, il gioco è fatto. Il sistema di sicurezza dell’app viene scavalcato dall’interno. L’account passa immediatamente sotto il controllo del malintenzionato e tu vieni estromesso. Non puoi più accedere, non puoi più vedere le tue chat, non puoi avvisare nessuno. Il truffatore, invece, ottiene accesso completo a conversazioni, foto, vocali e rubrica. Da lì può continuare la catena, inviando lo stesso messaggio trappola ai tuoi contatti, oppure spingersi oltre: inoltrare link malevoli, chiedere denaro ai tuoi familiari, costruire truffe su misura usando informazioni personali reali pescate dalle tue conversazioni.
Ma come ha fatto il truffatore a impossessarsi dell’account del tuo amico in primo luogo? Nella maggior parte dei casi, esattamente con lo stesso metodo. La truffa si propaga a catena: una prima vittima cede il codice, perde l’accesso e diventa, suo malgrado, il cavallo di Troia perfetto per colpire altri. A monte, però, c’è spesso qualcosa di ancora più banale: uno smartphone rubato o smarrito, privo di un blocco schermo efficace, oppure protetto da un PIN debole o facilmente intuibile. Basta un anello debole per innescare una reazione a catena. Il danno, quando la truffa va a buon fine, è immediato e significativo. Non si tratta solo di perdere l’accesso a un’app: WhatsApp è diventato per molti italiani il principale strumento di comunicazione personale e professionale. Perdere il controllo del proprio account significa esporre anni di conversazioni private, foto di famiglia, documenti condivisi. Significa mettere a rischio la reputazione, perché il malintenzionato può scrivere a nome tuo. Nei casi peggiori, l’account può essere sequestrato per lungo tempo, con la modifica dei dati di recupero, rendendo necessario l’intervento dell’assistenza WhatsApp o la denuncia alle autorità.
Eppure, la protezione più efficace è anche la più semplice: non condividere mai i codici di controllo. Mai. Nemmeno con persone che conosci, nemmeno se sembrano richieste legittime. Un codice a sei cifre ha senso solo per chi lo richiede in prima persona, sul proprio dispositivo, in quel preciso momento. Se ti arriva senza che tu abbia fatto nulla per richiederlo, e qualcuno te lo chiede, è una truffa. Punto. WhatsApp offre anche strumenti aggiuntivi di difesa. La verifica in due passaggi, ad esempio, aggiunge un PIN personale che viene richiesto in fase di registrazione del numero su un nuovo dispositivo. Anche se qualcuno ottiene il codice a sei cifre, senza il PIN non può completare l’accesso. Attivare questa funzione richiede pochi secondi e può fare la differenza. Utili anche le notifiche di sicurezza, che avvisano quando cambiano le chiavi crittografiche di un contatto, segnale che potrebbe indicare un cambio di dispositivo o un account compromesso.
In caso di furto dello smartphone o di sospetto attacco, la reazione deve essere immediata. Bisogna tentare subito il ripristino dell’account su un nuovo dispositivo inserendo il proprio numero. Se non è possibile, si procede con la disattivazione dell’account e la segnalazione a WhatsApp. Fondamentale avvisare i propri contatti attraverso altri canali, per spezzare la catena e impedire che la truffa si diffonda ulteriormente. La vera forza di questo raggiro sta nel suo essere controintuitivo. Siamo abituati a pensare che le truffe arrivino da sconosciuti, da email sospette, da link strani. Qui invece il pericolo arriva da chi conosciamo, con parole familiari, in un contesto che sembra assolutamente normale. È un inganno che sfrutta i nostri automatismi, la velocità con cui rispondiamo ai messaggi, la naturale inclinazione ad aiutare chi ci chiede qualcosa di apparentemente banale.
