Nel mare magnum delle minacce digitali che affollano i nostri smartphone, è emersa una nuova tecnica di frode tanto semplice quanto devastante nelle sue conseguenze: GhostPairing. Non parliamo di una falla tecnica da hacker incappucciati o di complessi exploit informatici, ma di qualcosa di molto più subdolo e democratico nel suo raggio d’azione. Si tratta di un attacco di phishing evoluto che fa leva sul più potente degli strumenti: la fiducia umana. Il palcoscenico è WhatsApp, l’app di messaggistica che utilizziamo quotidianamente per coordinare cene, condividere meme e gestire gruppi familiari, oggi trasformata in terreno di caccia per criminali informatici sempre più sofisticati. La meccanica di GhostPairing è disarmante nella sua linearità, ed è proprio questa semplicità a renderla pericolosa. Tutto inizia con un messaggio apparentemente innocuo che arriva da un contatto che conosciamo: un link, spesso accompagnato da un’anteprima grafica che imita lo stile delle comunicazioni ufficiali di Meta o Facebook, ci invita a cliccare. La destinazione è una pagina web contraffatta con cura maniacale, dove viene simulata una procedura di verifica della sicurezza che appare del tutto legittima. L’utente viene invitato a inserire il proprio numero di telefono, un gesto che compiamo decine di volte al giorno su varie piattaforme e che non desta particolari sospetti.
A questo punto entra in scena il vero protagonista della truffa: il device linking, ovvero la funzione di collegamento dei dispositivi integrata in WhatsApp. Il sito fraudolento mostra un codice di associazione generato realmente dall’applicazione, quello stesso codice a otto cifre che normalmente utilizziamo per collegare WhatsApp Web al nostro telefono. L’utente viene indotto a credere di essere coinvolto in un controllo di sicurezza di routine, quando invece sta per consegnare le chiavi del proprio regno digitale ai malintenzionati. Il colpo di scena finale è tragicamente semplice: la vittima, convinta di rafforzare la sicurezza del proprio account, inserisce questo codice nell’app. In quel preciso istante, concede accesso completo al proprio profilo WhatsApp ai criminali. Non servono tecniche invasive come il SIM swapping, non è necessario intercettare codici OTP via SMS, non occorrono malware sofisticati. Tutto si basa sulla capacità di convincere l’utente a compiere volontariamente un’azione apparentemente innocua. È l’ingegneria sociale portata al suo apice.
Questa strategia rende GhostPairing particolarmente insidioso e difficile da contrastare. La sua forza risiede nella naturalezza con cui si inserisce nelle nostre abitudini digitali quotidiane, sfruttando la fiducia riposta nei contatti conosciuti e nella routine delle procedure di sicurezza a cui siamo ormai assuefatti. Le campagne di phishing che utilizzano questa tecnica sono camuffate alla perfezione, perché non presentano i classici segnali di allarme che normalmente ci mettono in guardia: niente errori grammaticali grossolani, niente richieste esplicite di password o dati bancari, niente URL palesemente sospetti. Ma la vera truffa dei concorsi su Facebook e Instagram aggiunge un ulteriore livello di pericolosità. I malintenzionati posizionano esche sotto forma di post sponsorizzati sui social network, con promesse di estrazioni di premi appetitosi o concorsi con regali generosi. Per partecipare basta inserire il proprio numero di telefono, assicurandosi di avere un’utenza WhatsApp attiva. Dopo pochi secondi arriva il messaggio sull’app che richiede di inserire un codice alfanumerico a otto cifre di conferma. Gli utenti inesperti o troppo precipitosi ricevono questo codice direttamente da WhatsApp e pensano sia necessario per il concorso, quando in realtà è soltanto una sequenza usa e getta per registrare un nuovo dispositivo.
Se la vittima condivide quel codice con i truffatori, in pochi secondi questi attiveranno una sessione di WhatsApp Web, prenderanno possesso dell’utenza del malcapitato ed estromettendolo da ogni successivo accesso. Ma non finisce qui: utilizzeranno il numero rapinato per diffondere ulteriormente la truffa, creando un effetto domino che coinvolge i contatti della vittima, e per operazioni di scam più ampie. Una volta compromesso l’account, le conseguenze possono essere devastanti e ramificate. Il criminale ottiene accesso totale: può leggere conversazioni in tempo reale, comprese quelle più private e sensibili, scaricare foto e video dal backup, inviare messaggi spacciandosi per la vittima e, soprattutto, utilizzare il profilo per perpetrare ulteriori truffe ai danni dei contatti della persona colpita. Richieste di denaro per presunte emergenze, diffusione di malware attraverso link infetti, tentativi di estorsione basati su informazioni personali rubate: il ventaglio di possibilità criminali è ampio e preoccupante.
Gli esperti di sicurezza informatica descrivono GhostPairing come una delle varianti più sofisticate di phishing mirato, aggravata dal fatto che è la stessa vittima a fornire volontariamente le chiavi di accesso. Non c’è violazione tecnica, non c’è intrusione forzata: c’è solo persuasione psicologica applicata con chirurgica precisione. Ma come possiamo difenderci da questa minaccia che si nasconde dietro la maschera della normalità? Gli specialisti della sicurezza e le autorità competenti hanno stilato una serie di misure immediate e accessibili a chiunque, che non richiedono competenze tecniche particolari ma solo un po’ di attenzione e consapevolezza. Prima di tutto, è fondamentale controllare regolarmente la sezione Dispositivi collegati nelle impostazioni di WhatsApp. Questo semplice gesto, che richiede meno di trenta secondi, permette di verificare se esistono sessioni attive sospette. Ogni dispositivo collegato viene elencato con data e orario di connessione: se notate qualcosa che non riconoscete, rimuovetelo immediatamente. Questa verifica dovrebbe diventare un’abitudine periodica, come controllare l’estratto conto bancario.
Un altro baluardo fondamentale contro questo tipo di attacchi è l’attivazione dell’autenticazione a due fattori, chiamata in WhatsApp verifica in due passaggi. Questa funzione aggiunge un ulteriore livello di protezione tramite un PIN personale a sei cifre, che viene richiesto ogni volta che si tenta di associare un nuovo dispositivo o di registrare nuovamente il numero. Anche se un malintenzionato dovesse ottenere il codice di associazione, non potrebbe completare l’accesso senza conoscere questo PIN aggiuntivo. È una barriera semplice ma tremendamente efficace. Tra le precauzioni più importanti spicca anche l’invito a non cliccare mai su link ricevuti via messaggio, nemmeno da amici o familiari, senza aver prima verificato direttamente le intenzioni del mittente attraverso un canale alternativo. Una telefonata di trenta secondi può evitare settimane di problemi. Se un amico vi manda un link strano o una richiesta insolita, chiamatelo e chiedetegli conferma: spesso scoprirete che il suo account è già stato compromesso e sta inconsapevolmente diffondendo la truffa.
Fondamentale è anche leggere attentamente i messaggi ricevuti direttamente da WhatsApp. Questi messaggi di sistema riportano sempre, in modo evidente e inequivocabile, che si tratta di codici di verifica da non condividere con altre persone. Nessun concorso legittimo, nessuna app, nessun gioco richiede mai questi codici. Se qualcuno vi chiede di condividere un codice ricevuto da WhatsApp, qualunque sia il pretesto, è una truffa. Sempre, senza eccezioni. Nel caso sospettiate che il vostro account sia stato violato, è indispensabile agire con rapidità chirurgica. Disconnettete immediatamente tutte le sessioni attive da un dispositivo che sapete essere sicuro, modificate le impostazioni di sicurezza attivando o cambiando il PIN della verifica in due passaggi, e segnalate l’incidente al team ufficiale di WhatsApp attraverso i canali di supporto integrati nell’app. Ogni minuto conta, perché i criminali agiranno velocemente per sfruttare l’accesso prima che possiate bloccarlo.
I segnali di compromissione possono essere vari e talvolta subdoli: messaggi inviati dal vostro numero che non avete scritto voi, richieste di denaro anomale che risultano provenire dal vostro profilo, contatti che vi segnalano comunicazioni strane, impossibilità improvvisa di accedere al vostro account perché già attivo su un altro dispositivo. Se notate uno qualsiasi di questi campanelli d’allarme, agite immediatamente. Avvisate tempestivamente i vostri contatti, possibilmente attraverso canali alternativi come chiamate vocali o altri social network, spiegando che il vostro account WhatsApp è stato compromesso e che devono ignorare qualsiasi messaggio sospetto ricevuto da voi. Esistono anche varianti della truffa che utilizzano pretesti diversi dai concorsi. Una molto diffusa vede i cybercriminali fingersi un figlio o un nipote in difficoltà che scrive da un nuovo numero, chiedendo urgentemente il codice per recuperare i messaggi importanti. Un’altra variante invita a votare per un concorso online e richiede il codice come forma di autenticazione. Il meccanismo di fondo è sempre lo stesso: indurre la vittima a condividere quel codice a otto cifre che rappresenta le chiavi del regno.
