Negli ultimi giorni sta circolando con insistenza un messaggio che, a prima vista, non ha nulla di sospetto. Il testo è semplice, apparentemente innocuo. Si chiede infatti di esprimere una votazione per un sondaggio “per la figlia di un’amica”. Ma proprio questa apparente normalità è l’elemento più pericoloso della truffa, che prende di mira gli utenti di WhatsApp facendo leva su empatia e rapporti di fiducia.
Il meccanismo è studiato per essere rapido ed efficace. Chi riceve il messaggio, spesso da un contatto conosciuto, clicca sul link convinto di dover partecipare a un semplice sondaggio. In realtà viene reindirizzato a una pagina fraudolenta che chiede di inserire il proprio numero di telefono. Subito dopo arriva un SMS con un codice di verifica, il classico codice “OTP” che WhatsApp utilizza per confermare l’accesso a un account. A quel punto la vittima, seguendo le istruzioni fornite nella chat, incolla il codice e lo rimanda al mittente.
È proprio in quel momento che l’account viene perso. Quel codice, che dovrebbe restare strettamente personale, consente ai truffatori di prendere il controllo completo del profilo. Nessun sondaggio compare, l’unico risultato è che i criminali ottengono un nuovo account da sfruttare. Da lì, la truffa si autoalimenta, perché il messaggio viene reinviato a rubrica, gruppi e contatti recenti, aumentando esponenzialmente il numero di vittime potenziali.
Perché diffidare e come proteggere il proprio account WhatsApp
A segnalare ufficialmente il fenomeno è stata la Polizia di Stato, in particolare la Sezione Operativa per la Sicurezza Cibernetica di Aosta. Quest’ultima ha invitato i cittadini a mantenere alta l’attenzione anche quando il messaggio arriva da persone conosciute. Un account compromesso, infatti, continua a sembrare “affidabile” fino a quando non è troppo tardi.
Le raccomandazioni sono chiare e dovrebbero diventare buone abitudini quotidiane. I codici OTP ricevuti via SMS non vanno mai condivisi, in nessun caso e con nessuno. I link presenti nei messaggi, anche se scritti in modo convincente, possono nascondere pagine di phishing progettate per rubare dati e credenziali. In presenza di richieste insolite, la soluzione più semplice resta spesso la migliore. Basta una telefonata o un messaggio su un altro canale per verificare che sia davvero il contatto a scrivere.
Se l’account viene violato, è fondamentale avvisare subito amici e conoscenti, anche tramite i social, per interrompere la catena, e procedere con una denuncia alle Forze dell’Ordine. Un’ulteriore difesa efficace è l’attivazione della verifica in due passaggi su WhatsApp, che aggiunge un livello di sicurezza e rende molto più difficile l’accesso non autorizzato. Bastano pochi minuti per attivarla, ma può fare davvero la differenza.
