Arriva da un contatto che conosci bene. Magari un amico di vecchia data, un collega, persino un familiare. Il messaggio sembra genuino, quasi commovente: c’è la foto di una ragazza in body nero, in posa da ballerina classica, e una richiesta d’aiuto apparentemente innocua. “Puoi votare per Federica? È la figlia di una mia amica, sta partecipando a un concorso di danza e con il tuo voto può vincere una borsa di studio per un anno di corsi gratuiti. Non costa niente, basta un click“. Il tono è rassicurante, empatico. Ti viene sottolineato che non è richiesto alcun pagamento, che si tratta solo di un gesto di solidarietà. Un click per aiutare una giovane a realizzare un sogno. Chi potrebbe dire di no? Eppure, dietro questa apparente innocuità si nasconde una delle truffe più sofisticate e pericolose approdate su WhatsApp negli ultimi mesi: la truffa della ballerina.
Non si tratta di un tentativo isolato né di un esperimento maldestro. Questa forma di smishing, il phishing veicolato attraverso app di messaggistica, sta colpendo migliaia di utenti in tutta Italia, diffondendosi come un virus digitale che sfrutta la risorsa più preziosa e vulnerabile del web: la fiducia nei confronti di chi conosciamo. La prima vittima, quella che riceve il messaggio dal proprio contatto reale, spesso non si accorge nemmeno di essere finita in una trappola. Il link contenuto nel messaggio non porta a nessun concorso di danza legittimo, nessuna piattaforma di voto, nessuna borsa di studio. Cliccandoci sopra, l’utente viene reindirizzato verso un sito contraffatto che imita l’aspetto di una pagina ufficiale, a volte simile a Facebook o a un portale di sondaggi.
La pagina falsa chiede di inserire il proprio numero di telefono. Fin qui, potrebbe sembrare una procedura standard. Ma subito dopo arriva la richiesta cruciale: inserire un codice di verifica ricevuto via SMS da WhatsApp. Quel codice di sei cifre che, in condizioni normali, serve per registrare il proprio account su un nuovo dispositivo. Fornendo quel codice, la vittima consegna inconsapevolmente le chiavi del proprio profilo WhatsApp direttamente nelle mani dei truffatori. In pochi minuti, il danno è fatto. L’utente perde l’accesso al proprio account, WhatsApp si disconnette dal telefono e i cybercriminali prendono il controllo totale del profilo. A quel punto, il meccanismo di propagazione si innesca automaticamente: dal profilo rubato partono decine, centinaia di messaggi identici a tutti i contatti della vittima. Amici, parenti, colleghi ricevono la stessa richiesta, accompagnata dalla stessa foto della ballerina. E il ciclo ricomincia.
Ma non finisce qui. Dopo qualche ora o qualche giorno, quando la fiducia è stata consolidata e il numero di vittime è aumentato, dai profili rubati partono richieste di denaro. “Ho bisogno urgente di soldi“, “Mi hanno rubato il portafoglio“, “Problemi in famiglia, puoi farmi un bonifico?” messaggi che sfruttano l’affetto e la disponibilità di chi riceve, convinto di parlare con una persona cara in difficoltà. L’efficacia di questa truffa risiede proprio nella sua capacità di aggirare tutti i campanelli d’allarme che normalmente si attivano di fronte a un tentativo di phishing. Non arriva da un numero sconosciuto con prefisso estero, non contiene errori grammaticali evidenti, non promette vincite miracolose o eredità faraoniche. Arriva da qualcuno che conosciamo, con un tono familiare, e propone un gesto di solidarietà che fa leva sull’empatia. Sembra innocua: basta un voto, non costa nulla. Ma è proprio questa apparente innocuità a renderla letale.
Il fenomeno si sta diffondendo a macchia d’olio in queste settimane, con segnalazioni che arrivano da tutta Italia. Le associazioni dei consumatori, come Adiconsum, hanno lanciato l’allarme invitando gli utenti a prestare massima attenzione e a diffidare di qualsiasi messaggio che contenga link sospetti, anche se provenienti da contatti fidati. La prima regola di difesa è la più semplice ma anche la più difficile da seguire: non aprire mai link ricevuti su WhatsApp senza verificarne l’autenticità. Se ricevi un messaggio di questo tipo, anche da un amico o un parente, non cliccare sul link. Meglio ancora: chiama subito il mittente con una telefonata vocale, non tramite chat. Nove volte su dieci, scoprirai che quella persona non ha inviato nulla e che il suo account è stato compromesso.
WhatsApp mette a disposizione degli utenti uno strumento fondamentale per proteggersi da questo tipo di attacchi: la verifica in due passaggi. Si attiva dalle impostazioni dell’app, nella sezione Account, e aggiunge un PIN di sicurezza personale che rende molto più difficile il furto dell’account anche se qualcuno dovesse entrare in possesso del codice di verifica via SMS. È un passaggio in più, certo, ma può fare la differenza tra mantenere il controllo del proprio profilo e perderlo definitivamente. Un altro controllo importante riguarda i dispositivi collegati al proprio account. WhatsApp permette di utilizzare lo stesso profilo su più dispositivi contemporaneamente: computer, tablet, altri smartphone. Se sospetti di essere stato vittima della truffa, vai immediatamente nelle impostazioni, seleziona Dispositivi collegati e disconnetti tutti i dispositivi che non riconosci. Potrebbe essere già troppo tardi, ma vale la pena provare.
Se hai già cliccato sul link e perso l’accesso al tuo account, la situazione diventa più complessa. Il primo passo è contattare immediatamente la Polizia Postale, sia attraverso il sito ufficiale che recandosi presso un commissariato. Denuncia formale alla mano, sarà possibile avviare le procedure per segnalare il furto di identità digitale e tentare di recuperare l’account. Parallelamente, è fondamentale avvisare tutti i propri contatti attraverso canali alternativi: telefonate, email, messaggi su altri social network. Devono sapere che il tuo profilo è stato compromesso e che eventuali richieste di denaro non provengono da te. WhatsApp stessa prevede una procedura di recupero account in caso di furto, che passa attraverso la richiesta di un nuovo codice di verifica. Ma i truffatori, se hanno attivato la verifica in due passaggi sul profilo rubato, possono bloccare l’accesso per sette giorni. Una settimana che può sembrare un’eternità quando dall’altra parte ci sono i tuoi contatti che potrebbero ricevere richieste fraudolente.
La truffa della ballerina è l’evoluzione naturale di tentativi precedenti, sempre più sofisticati e difficili da individuare. Nei mesi scorsi erano circolate altre varianti simili: il finto messaggio di un corriere che non riesce a consegnare un pacco, la falsa comunicazione di un buono spesa da ritirare, il presunto link per visualizzare un video divertente. Tutte tecniche accomunate dallo stesso obiettivo: rubare il codice di verifica per impossessarsi dell’account WhatsApp. Perché proprio WhatsApp? La risposta è semplice: è l’applicazione di messaggistica più diffusa in Italia, con decine di milioni di utenti attivi ogni giorno. Ogni account rubato rappresenta un database di contatti pronti a cadere nella stessa trappola, un effetto domino che si autoalimenta. E soprattutto, un profilo WhatsApp compromesso ha un valore economico sul mercato nero: può essere utilizzato per truffe, per diffondere spam, per raccogliere dati personali da rivendere.
La consapevolezza rimane l’arma più potente. Un secondo di attenzione, un momento di riflessione prima di cliccare può salvare il tuo account e proteggere la tua intera rete di contatti da richieste di denaro fraudolente. La prossima volta che ricevi un messaggio con una foto di una ballerina e una richiesta di voto, fermati. Chiediti se ha senso, se quel contatto ha l’abitudine di inviare questo genere di messaggi, se la richiesta suona troppo generica o standardizzata. Non abbassare la guardia solo perché il messaggio viene da un amico. Potrebbe essere proprio quell’amico ad aver bisogno del tuo aiuto, non cliccando su quel link ma avvisandolo che il suo account è stato violato. La truffa della ballerina è perfetta proprio perché sembra imperfetta, umana, credibile. Ma dietro quella foto innocente si nasconde un meccanismo spietato che non fa sconti a nessuno.
