Negli ultimi mesi decine di persone stanno perdendo il proprio account WhatsApp dopo aver risposto a un messaggio apparentemente innocuo. È la cosiddetta “truffa della ballerina”, tornata a circolare con forza in diverse zone d’Italia, in particolare in provincia di Reggio Emilia, dove tra le vittime figurano anche amministratori locali. Il meccanismo è semplice ma estremamente efficace: non chiede soldi, non sembra pericoloso e arriva da qualcuno che conosci. Proprio per questo riesce a ingannare così tante persone.
La truffa inizia con un messaggio che sembra scritto da un amico, un parente o un conoscente presente nella rubrica. Il testo è personale, utilizza il nome della vittima e chiede “un piccolo favore”: votare una bambina o una ragazza – spesso chiamata Francesca o Federica – per farle vincere un corso di danza gratuito o una borsa di studio. A volte il messaggio include anche la foto di una ragazzina in abiti da ballo. Viene specificato che non serve pagare nulla, dettaglio che abbassa ulteriormente le difese e rende la richiesta credibile. Il cuore della truffa è il link allegato.
Cliccandolo si viene reindirizzati a una pagina che imita un sito ufficiale o un sondaggio online. Qui viene chiesto di inserire il proprio numero di telefono e, subito dopo, un codice che arriva via SMS. Quel codice non serve per votare: è il codice di verifica di WhatsApp. Inserendolo, la vittima autorizza inconsapevolmente i truffatori ad accedere al suo account. In pochi istanti WhatsApp si disconnette dal telefono della vittima e il profilo passa sotto il controllo degli hacker. Questo tipo di attacco rientra nelle truffe di “smishing”, che sfruttano i messaggi per indurre le persone a fornire dati sensibili. Una volta ottenuto l’accesso, si innesca l’effetto domino.
I cybercriminali usano il numero e il nome della vittima per inviare lo stesso messaggio a tutti i contatti, facendo sembrare che la richiesta arrivi da una persona fidata. In altri casi, fingono emergenze o difficoltà economiche e chiedono direttamente denaro ad amici e familiari. La vittima perde l’accesso all’account, alla cronologia delle chat e alla propria rete di contatti, mentre la truffa continua a propagarsi. Per proteggersi, la regola fondamentale è non cliccare mai link ricevuti su WhatsApp, anche se provengono da numeri conosciuti. Non bisogna mai inserire il proprio numero di telefono né codici ricevuti via SMS su pagine web di cui non si è certi.
Una semplice telefonata al contatto che ha inviato il messaggio permette spesso di scoprire che non è stato lui a scriverlo. È inoltre importante attivare la verifica in due passaggi di WhatsApp, impostando un PIN dalle impostazioni dell’app, e controllare periodicamente la sezione “Dispositivi collegati” per rimuovere eventuali accessi sospetti. Se si sospetta di essere stati colpiti, è fondamentale non accettare richieste anomale dall’app, avvisare subito tutti i contatti per evitare che cadano nella stessa trappola, segnalare l’accaduto alla Polizia Postale e seguire le procedure ufficiali di WhatsApp per il recupero dell’account.
