Negli ultimi giorni è emersa una nuova minaccia che prende di mira gli utenti WhatsApp e che sta iniziando a diffondersi anche in Italia. Si chiama GhostPairing ed è una tecnica di acquisizione fraudolenta degli account che sfrutta l’ingegneria sociale e una funzione legittima dell’app, senza ricorrere al furto di password o a malware sofisticati. Il punto critico è proprio questo: l’account non viene violato tecnicamente, ma consegnato inconsapevolmente dalla vittima all’attaccante.
Come funziona l’attacco GhostPairing
WhatsApp consente di utilizzare lo stesso account su più dispositivi, grazie alla funzione di collegamento multi-device. Per attivarla, l’app genera un codice di verifica che serve ad autorizzare l’accesso da un nuovo dispositivo, come un browser o un secondo smartphone. L’attacco inizia quasi sempre con un messaggio ingannevole, spesso inviato da un contatto già compromesso. Il testo invita l’utente a cliccare su un link, che rimanda a una pagina falsa progettata per imitare l’interfaccia ufficiale di WhatsApp. Qui alla vittima viene chiesto di inserire un codice di verifica, con una scusa credibile: un controllo di sicurezza, una riconferma dell’account o un problema tecnico.
Inserendo quel codice, l’utente autorizza di fatto il collegamento di un dispositivo controllato dall’attaccante, che ottiene accesso completo all’account: messaggi in entrata e in uscita, chat, gruppi e contatti. Non viene rubata alcuna password e non viene forzato nulla. È l’utente stesso, senza rendersene conto, ad aprire la porta.
Perché GhostPairing è difficile da individuare
Una delle caratteristiche più pericolose di questa tecnica è la sua scarsa visibilità. L’account continua a funzionare normalmente sullo smartphone della vittima, che potrebbe non accorgersi subito della presenza di un secondo dispositivo collegato. Nel frattempo, l’attaccante può leggere le conversazioni, inviare messaggi spacciandosi per la vittima e utilizzare l’account per colpire altri contatti, alimentando una catena di compromissioni. Questo rende GhostPairing particolarmente efficace nelle campagne di phishing e nelle truffe mirate, perché sfrutta la fiducia tra contatti reali.
Come difendersi dal GhostPairing
La prima forma di difesa è l’attenzione. WhatsApp non chiede mai codici di verifica tramite link o messaggi, e qualsiasi richiesta di questo tipo va considerata sospetta, anche se proviene da un contatto conosciuto. È fondamentale non inserire mai codici di accesso o verifica al di fuori dell’app ufficiale, soprattutto su pagine raggiunte tramite link ricevuti in chat. Un altro controllo importante riguarda i dispositivi collegati: dalle impostazioni di WhatsApp è possibile verificare in qualsiasi momento quali dispositivi sono associati all’account e disconnettere quelli sospetti. Attivare la verifica in due passaggi aggiunge un ulteriore livello di protezione, rendendo più difficile per un attaccante completare l’accesso anche in caso di codice intercettato.
