Torna sul famoso WhatsApp in questi giorni la truffa del codice di verifica a 6 cifre che permette a tutti i criminal hacker di rubare i profili delle vittime. Il truffatore può essere in grado di impadronirsi di un profilo WhatsApp e dei relativi gruppi, modificando anche il nome e le foto dell’account e mettendo anche in atto, secondo un processo a catena, la stessa identica truffa contro tutti i componenti delle conversazioni in comune.
Praticamente l’utente viene attaccato con il messaggio, che appare su Whatsapp da parte di uno dei contatti che abbiamo in rubrica come ad esempio “Ciao, ti ho inviato un codice per errore, potresti rimandarmelo?” ma attenzione, perché se lo mandiamo, ecco che scatta subito il furto del profilo.
Si tratta di un codice dell’autenticazione a due fattori, che non dobbiamo dare a nessuno e per nessun motivo al mondo. Quel che dobbiamo sapere è che il nostro contatto in rubrica ci ha mandato quel messaggio senza saperlo perché è caduto nella truffa, che permette ai criminali di sfruttarne il profilo per mandare il messaggio ad altri contatti e truffare anche loro, come una sorta di catena di sant’Antonio.
Il meccanismo con il quale può essere effettuata questa truffa è piuttosto semplice e sfrutta le note tecniche d’ingegneria sociale oltre che una funzionalità legittima di WhatsApp ovvero la funzione “cambia numero” che prevede una verifica con un codice di sole 6 cifre che viene trasmesso via SMS.
Come funziona questa truffa?
Attraverso questa funzione, l’hacker inserisce come numero di telefono attuale quello di un contatto che è già compromesso e che si trova nella rubrica della vittima, inserisce poi come nuovo numero quello della vittima, che riceverà, quindi, secondo la procedura un codice di 6 cifre via SMS sul proprio dispositivo e, contemporaneamente, utilizzando il profilo WhatsApp del contatto già compromesso, il truffatore scriverà alla vittima un messaggio del tipo: “Ciao, ti ho inviato un codice per errore, potresti rimandarmelo?”.
Puntando sulla buona fede e sull’ingenuità di un certo numero di tentativi “a strascico”, l’attaccante riesce, così, ad eseguire l’accesso con il numero della vittima e a prendere totale possesso dell’account del legittimo proprietario, disconnettendolo da WhatsApp. Il criminal hacker entrato in possesso dell’account diventa a tutti gli effetti proprietario del profilo e anche delle impostazioni per cui potrà vedere i gruppi e i numeri di telefono dei partecipanti che potranno essere usati al fine di propinare la stessa truffa.