Prima di procedere
Il mondo della messaggistica istantanea, e in particolare WhatsApp, è sempre più spesso terreno fertile per truffe sofisticate che sfruttano l'ingegneria sociale. L'ultima minaccia, scoperta dai ricercatori di gendigital.com, si chiama GhostPairing, un termine che evoca un "abbinamento fantasma" attraverso il quale i malintenzionati riescono a ottenere l'accesso al tuo account e a spiare le tue conversazioni, foto, video e persino inviare messaggi a tua insaputa.
La particolarità di questa truffa risiede nel fatto che non si basa su una violazione diretta dei sistemi di sicurezza di WhatsApp, ma sulla manipolazione degli utenti. I truffatori, infatti, sfruttano la fiducia che riponiamo nei nostri contatti per indurci a compiere azioni che, in realtà, ci espongono al rischio di compromettere il nostro account.
Ma come funziona esattamente il GhostPairing? Tutto inizia con un messaggio proveniente da un contatto fidato, qualcuno presente nella nostra rubrica. Questo contatto, a sua insaputa, è già stato vittima della truffa e il suo account è stato compromesso. I truffatori, una volta entrati in possesso dell'account, inviano messaggi-esca ai contatti della vittima, sfruttando la sua rete di relazioni per ampliare il raggio d'azione della truffa.
Il messaggio-esca è generalmente breve, ben scritto e studiato per suscitare la curiosità del destinatario. Un esempio tipico, riportato dai ricercatori, è un messaggio del tipo: "Hey, ho trovato una tua foto!", seguito da un link apparentemente innocuo. Cliccare su questo link, però, può avere conseguenze disastrose.
Il link conduce a una pagina web che imita l'interfaccia di Facebook, pur non appartenendo al dominio ufficiale del social network di Meta. Questa discrepanza dovrebbe rappresentare un campanello d'allarme, ma spesso la fretta e la curiosità ci spingono a non farci caso. La pagina web richiede di effettuare una fantomatica verifica dell'identità per poter visualizzare la foto. Per completare questa verifica, viene chiesto di inserire il proprio numero di telefono, lo stesso utilizzato per accedere a WhatsApp.
A questo punto, i truffatori utilizzano il numero di telefono fornito dalla vittima per ottenere un accesso legittimo all'account WhatsApp. Legittimo perché, di fatto, è la stessa vittima a fornire le "chiavi" d'accesso, autorizzando l'abbinamento del proprio account a un dispositivo controllato dai malintenzionati.
Una volta ottenuto l'accesso, i truffatori possono leggere i messaggi, visualizzare le foto e i video, ascoltare i messaggi vocali e persino inviare messaggi a nome della vittima, magari per diffondere ulteriormente la truffa o per estorcere denaro ai suoi contatti.
Ma come possiamo difenderci da questa insidiosa minaccia? La regola d'oro è quella di non agire d'impulso e di prendersi sempre un momento per riflettere prima di cliccare su link sospetti o sconosciuti, soprattutto se provenienti da contatti che ci chiedono di compiere azioni insolite. I ricercatori raccomandano di considerare sospetta qualsiasi richiesta di scansionare un codice QR di WhatsApp o di inserire un codice numerico ricevuto tramite SMS su una pagina web.
Inoltre, è fondamentale attivare la verifica in due passaggi su WhatsApp. Questa funzione aggiunge un ulteriore livello di sicurezza al tuo account, richiedendo l'inserimento di un PIN a sei cifre ogni volta che si registra il proprio numero di telefono su un nuovo dispositivo.
Per verificare se si è già stati vittima di GhostPairing, è possibile controllare i dispositivi collegati al proprio account WhatsApp. Per farlo, basta accedere alle Impostazioni dell'app e selezionare la voce Dispositivi collegati. Se si individuano dispositivi sconosciuti o sospetti, è consigliabile rimuoverli immediatamente.
Ecco alcuni domini utilizzati dai criminali, anche se vengono spesso cambiati: photobox.life, postsphoto.life, yourphoto.life, photopost.live, yourphoto.world, top-foto.life, fotoface.top. Ricorda, la prudenza è la migliore arma per difendersi dalle truffe online. Non fornire mai i tuoi dati personali o codici di accesso a siti web sospetti e diffida sempre dei messaggi che ti invitano a compiere azioni insolite.
Rimanere informati sulle ultime minacce e adottare le misure di sicurezza necessarie è fondamentale per proteggere il tuo account WhatsApp e la tua privacy. La consapevolezza è la chiave per evitare di cadere vittima di truffe come il GhostPairing.
