Una nuova campagna di session hijacking su WhatsApp sta colpendo utenti in tutta Italia, e il dettaglio più preoccupante è che non serve rubare password o codici di verifica per portarla a termine. Il meccanismo è subdolo, sfrutta una funzione che praticamente tutti usano senza pensarci troppo, e riesce a rendere inutile persino la verifica in due passaggi. Vale la pena capire come funziona, perché difendersi è possibile ma solo se si sa dove guardare.
Il cuore della truffa ruota attorno ai dispositivi collegati di WhatsApp, quella funzione che permette di usare l’app dal computer o da un tablet secondario senza dover ogni volta reinserire le credenziali. È comoda, funziona bene, e proprio per questo rappresenta un punto cieco nella percezione della sicurezza da parte degli utenti. Gli attaccanti riescono a ottenere l’accesso fisico o remoto al telefono della vittima per pochi secondi, il tempo necessario per collegare un nuovo dispositivo al suo account WhatsApp. Una volta fatto, il gioco è chiuso: possono leggere tutti i messaggi, accedere alle chat, e la vittima non si accorge di nulla perché il suo telefono continua a funzionare normalmente.
Perché la 2FA non protegge da questo attacco
Qui sta il punto che spiazza molti. La autenticazione a due fattori su WhatsApp protegge la fase di registrazione dell’account su un nuovo telefono, cioè quando qualcuno prova a trasferire il numero su un altro dispositivo. Ma il collegamento di un dispositivo secondario passa per un canale diverso: basta inquadrare un codice QR dall’app principale, e non viene richiesto alcun PIN aggiuntivo. Questo significa che chi riesce ad accedere anche brevemente allo smartphone della vittima può aggiungere un dispositivo collegato senza incontrare nessun ostacolo legato alla 2FA.
La campagna in corso in Italia sembra sfruttare diverse tecniche per ottenere quel breve accesso necessario. Si va dal classico pretesto sociale (qualcuno che chiede di “guardare un attimo” il telefono) fino a metodi più sofisticati che coinvolgono malware leggero capace di simulare l’interazione con lo schermo da remoto.
Come verificare e proteggersi concretamente
La prima cosa da fare è controllare subito la lista dei dispositivi collegati nelle impostazioni di WhatsApp. Si trova sotto la voce apposita nel menu, e mostra tutti i device attualmente connessi all’account. Se compare qualcosa di non riconosciuto, va disconnesso immediatamente. Questo è l’unico controllo davvero efficace, e andrebbe ripetuto con una certa regolarità.
Altre precauzioni utili: non lasciare mai il telefono sbloccato incustodito, attivare il blocco biometrico per aprire WhatsApp (disponibile nelle impostazioni privacy dell’app), e diffidare di qualsiasi richiesta di interagire fisicamente con il proprio smartphone da parte di sconosciuti. Anche installare aggiornamenti regolari dell’app è importante, perché WhatsApp sta introducendo notifiche più evidenti quando un nuovo dispositivo viene collegato.
Il fatto che questa truffa su WhatsApp sfrutti una funzione perfettamente legittima rende il tutto particolarmente insidioso. Non c’è nessun link malevolo da cliccare, nessun messaggio sospetto da riconoscere. L’unica traccia resta quella voce nella lista dei dispositivi collegati, che la maggior parte delle persone non controlla praticamente mai.
