Le truffe online sono in continua evoluzione e WhatsApp non è immune a questo tipo di minaccia. Una delle frodi più insidiose che ritorna ciclicamente è quella legata al codice di verifica a sei cifre, che permette ai criminali informarici di prendere il controllo dei profili delle vittime. La truffa inizia con un messaggio che appare innocuo, inviato da un contatto conosciuto: “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”. Il messaggio è il primo passo per rubare il profilo della vittima, in quanto il codice richiesto è il codice di verifica a sei cifre utilizzato nell’autenticazione a due fattori di WhatsApp. Se la vittima fornisce questo codice, l’hacker può completare la verifica e prendere il controllo del profilo.
Il truffatore sfrutta la funzione di WhatsApp “cambia numero” partendo da un contatto già compromesso nella rubrica della vittima. Come proprio numero inserisce quello del contatto compromesso, mentre come nuovo numero inserisce quello della vittima: in questo modo riesce a inviare a quest’ultima il codice in questione. La vittima riceve quindi un codice di verifica via SMS. L’hacker, fingendosi il contatto compromesso, chiede alla vittima di rinviare il codice, sostenendo che sia stato inviato per errore. Una volta ottenuto il codice, l’hacker accede al profilo della vittima, cambia il nome e la foto dell’account, e disconnette il legittimo proprietario.
Per non cadere in questa trappola, è essenziale seguire alcune misure di sicurezza: innanzi tutto, ricordare che non ci sono situazioni in cui sia plausibile condividere il codice di verifica a sei cifre. Poi, è fondamentale non condividere informazioni personali con estranei o in contesti sospetti. È inoltre importante aggiungere un ulteriore livello di sicurezza richiedendo un PIN personale ogni volta che si registra il proprio numero di telefono su WhatsApp: per farlo, è sufficiente aprire WhatsApp e toccare il menu con tre puntini in alto a destra su Android o l’ingranaggio in basso su iOS. Andare quindi a Impostazioni > Account > Verifica in due passaggi.
Se si è vittima di questa truffa, è importante agire rapidamente: per prima cosa, provare a rieseguire l’accesso al proprio account. Se si riesce a ricevere il codice di verifica, l’accesso sarà ripristinato automaticamente. Se l’hacker ha già cambiato il numero associato, potrebbe essere necessario disattivare l’account. Per farlo, toccare Altre opzioni. > Impostazioni > Account > Elimina account. È importante segnalare immediatamente l’accaduto alla Polizia Postale e informare i propri contatti per evitare che cadano nella stessa trappola.