WhatsApp è finito al centro di una vera e propria bufera che fa storcere il naso a chiunque pensi di sapere come funzionano le truffe online. Un account che invia messaggi da solo, chiede bonifici ai contatti e non mostra nessun dispositivo strano collegato. Niente codici consegnati, nessun QR code scansionato, nemmeno un’app sospetta installata sul telefono. A studiare questa compromissione è stato Antonio De Bortoli, tecnico informatico, che si è trovato davanti a un iPhone con iOS 16 violato in un modo diverso dalle solite truffe. E con una domanda ancora senza risposta: come è cominciato tutto?
Nel caso analizzato, qualcuno riusciva a usare l’account della vittima per scrivere ai contatti in rubrica e chiedere bonifici istantanei. Sul telefono, però, non c’era traccia di quegli indizi che di norma aiutano a capire un furto di account. Nessun dispositivo sconosciuto nella sezione Dispositivi collegati, nessun profilo sospetto, nessuna app fuori posto e nemmeno un codice WhatsApp ricevuto o comunicato a qualcuno. Il proprietario continuava ad avere il suo iPhone tra le mani, mentre lo stesso numero risultava usato anche da un’altra sessione.
Una sessione che si contende l’account
Qui non parliamo del classico accesso tramite QR code. In quel caso, di solito, il dispositivo sospetto comparirebbe nella schermata dei dispositivi associati. Stavolta, invece, secondo la ricostruzione, la sessione dell’attaccante non si presentava come un normale dispositivo secondario. Sembrava piuttosto contendersi lo stesso account con il telefono principale della vittima. Spiegato in parole povere: WhatsApp prevede un telefono principale per ogni account. Nel caso esaminato, il telefono legittimo e una seconda sessione avrebbero continuato ad alternarsi nel controllo dello stesso numero.
Ecco perché alcuni messaggi potevano partire dall’account della vittima senza comparire sul suo iPhone, mentre i contatti ricevevano richieste di denaro che sembravano arrivare da una persona conosciuta. Il messaggio proviene da un numero reale, già salvato in rubrica. Chi lo riceve non vede uno sconosciuto, ma qualcuno con cui magari ha già chiacchierato decine di volte. Se la richiesta è urgente o riguarda una cifra non troppo alta, può sembrare credibile prima ancora di fare una verifica. Spesso il primo campanello d’allarme arriva proprio dai contatti che ricevono la richiesta e chiedono spiegazioni.
Il punto debole resta un mistero
Da chiarire c’è ancora il modo in cui è avvenuto l’accesso iniziale. Le analisi sul dispositivo non avrebbero trovato un link aperto dalla vittima, un codice condiviso o un’app sospetta da cui far partire tutto. Si parla quindi di un attacco senza interazioni evidenti da parte dell’utente, ma con una cautela d’obbligo: il vettore preciso non è stato ancora individuato. Il telefono, come detto, era un iPhone con iOS 16, dettaglio emerso anche in altre segnalazioni delle ultime settimane. Da qui l’attenzione verso possibili vulnerabilità legate a quella versione del sistema operativo e all’app stessa. La ricostruzione, comunque, resta prudente: alcune ipotesi sono state verificate, altre restano aperte e senza i dati lato server di Meta è complicato completare il quadro.
La prima cosa da fare è tenere sempre aggiornati sia iOS sia WhatsApp, soprattutto se il telefono gira ancora con una versione vecchia del sistema. La verifica in due passaggi di WhatsApp va attivata comunque, anche se non è una garanzia assoluta. Conviene poi dare un’occhiata ogni tanto alla sezione Dispositivi collegati e controllare anche i dispositivi associati al proprio account Apple. E se arriva una richiesta di denaro, anche dal numero abituale di una persona che conosci bene, la verifica va fatta fuori dalla chat: una telefonata, un messaggio su un altro canale, qualunque contatto diretto che permetta di parlare davvero con il titolare dell’account.