Come di consueto nel periodo delle festività natalizie si intensificano anche le segnalazioni relative a truffe online e altri raggiri portati avanti principalmente tramite l’utilizzo della piattaforma di messaggistica WhatsApp. L’app è ormai diventata un punto di riferimento per decine di milioni di persone in Italia e non stupisce che truffatori e altri malintenzionati desiderino sfruttarla per raggiungere una platea di vittime più ampia possibile; quest’anno il metodo di attacco prediletto sembra essere la truffa del codice, un raggiro che non è certo inedito ma che purtroppo fatica a passare di moda.

Le segnalazioni arrivano dall’Ansa, che nelle scorse ore ha parlato di un fantomatico virus che si sarebbe nascosto nei messaggi di auguri e avrebbe colpito centinaia di utenti nel bresciano chiudendoli fuori dal loro account WhatsApp. Gli attacchi si sono verificati davvero — tra le vittime del resto emergono anche le generalità del sindaco di Orzinuovi Gianpietro Maffoni — ma considerati i risultati è implausibile che la maxi operazione malevola si sia originata da un virus informatico: i racconti delle vittime riportati all’agenzia fanno infatti pensare proprio alla truffa del codice.

La truffa del codice è un’operazione di ingegneria sociale nella quale i truffatori possono colpire le vittime grazie alla fiducia che riescono a carpire loro nei modi più svariati. Nel caso in oggetto le vittime ricevono un messaggio nel quale i truffatori — spacciandosi per amici o conoscenti — affermano di aver inviato per sbaglio al loro telefono un codice di 6 cifre via SMS; nel testo viene chiesto di copiare le 6 cifre ricevute nell’SMS e spedirle al mittente. In effetti le vittime hanno appena ricevuto un SMS con un codice di 6 cifre, ma a mandarlo è stata WhatsApp: il contenuto è un codice di autenticazione temporaneo che serve per attivare l’app su un nuovo telefono; la piattaforma manda questi codici in automatico non appena qualcuno che ha appena installato l’app su un nuovo smartphone tenta di accedervi utilizzando il relativo numero di telefono.

Il servizio serve a far sì che chi ha recentemente cambiato o reimpostato il telefono non perda contatti e conversazioni, ma i truffatori possono sfruttarlo a proprio vantaggio. Basta che installino l’app sul telefono, tentando poi l’accesso con il numero della persona che vogliono colpire e poi spedendo a quest’ultima l’SMS nel quale le chiedono di copiare loro il codice di sicurezza: chi risponde inoltrando il codice di 6 cifre all’autore della truffa perde l’accesso la suo account. È questo che — dai racconti riportati da Ansa — sembra essere successo: il messaggio truffa è stato ricevuto “da un vigile del fuoco del paese”, anche se probabilmente non conteneva alcun virus.

Una volta ottenuto accesso all’account WhatsApp del vigile del fuoco, i truffatori hanno potuto impersonarlo con i membri della sua rubrica di contatti allegata a WhatsApp e diffondere il raggiro per conquistare l’accesso ad altri profili. Alcuni di questi contatti, ricevendo richieste che provenivano dal profilo di una persona fidata, devono aver risposto all’appello lanciato dai truffatori sotto mentite spoglie cadendo a loro volta vittime del tranello: è in questo modo probabilmente che la truffa si è diffusa proprio come un virus, colpendo cioè abitanti e membri della stessa comunità geografica. Non è noto come il vigile del fuoco abbia perso l’accesso al suo account, ma rimanere al sicuro da questo tipo di attacchi è semplice: basta non seguire link sospetti né rispondere a richieste bizzarre senza prima ottenere una ulteriore conferma (magari a voce) dai contatti che le hanno formulate.