Un messaggio apparentemente innocuo dai tuoi contatti nasconde un pericolo inaspettato: come riconoscerlo e come difendersi.
Immagina di ricevere un messaggio da un amico o un familiare che conosci da anni. Il tono è cordiale, la richiesta sembra semplice e del tutto innocua: aiutare un bambino a vincere un concorso con un semplice voto. Bastano pochi secondi, un click veloce, e avrai fatto una buona azione. Nulla di più naturale che voler aiutare, soprattutto quando la richiesta arriva da qualcuno di cui ci fidiamo completamente. Eppure, dietro questa apparente normalità si nasconde una delle minacce digitali più insidiose degli ultimi mesi.
Gli esperti di sicurezza informatica stanno registrando un’ondata preoccupante di casi in tutta Europa, con migliaia di persone che hanno già perso il controllo dei propri dati personali. La tecnica è tanto semplice quanto efficace, e proprio per questo estremamente pericolosa.
La truffa “Vota mio figlio” su WhatsApp: come funziona il furto di account in 30 secondi
La campagna fraudolenta identificata da Bitdefender sfrutta WhatsApp come canale principale di diffusione. La truffa inizia con un messaggio inviato da un account già compromesso, in cui si chiede di votare per un bambino che partecipa a una competizione. Il messaggio contiene un link che, una volta cliccato, reindirizza l’utente verso un sito web controllato dai criminali informatici.
La pagina fraudolenta simula perfettamente un sistema di votazione legittimo. Durante la procedura, viene richiesto di inserire il proprio numero di telefono, seguito da un codice di verifica di sei cifre che arriva tramite WhatsApp. Questo codice, in realtà, è la chiave di accesso al vostro profilo, e una volta condiviso con i truffatori, permette loro di impossessarsi completamente dell’account.
I criminali sfruttano tre leve psicologiche fondamentali:
- la fiducia nel mittente conosciuto,
- l’empatia verso un bambino che ha bisogno di aiuto,
- il senso di urgenza creato dalla scadenza del presunto concorso.
Questa combinazione rende la truffa efficace anche contro utenti normalmente attenti alla sicurezza informatica. Una volta ottenuto il controllo dell’account WhatsApp, gli aggressori hanno accesso completo alla lista contatti e alla cronologia dei messaggi. A questo punto, il ciclo si ripete.
L’indagine ha rivelato l’esistenza di 177 domini fraudolenti e 554 URL unici collegati a questa campagna, che ha colpito principalmente Polonia, Romania e Germania, ma con casi segnalati anche in Spagna, Regno Unito e Stati Uniti. La rapidità di diffusione è allarmante: bastano letteralmente 30 secondi dall’inserimento del codice di verifica per perdere completamente il controllo del proprio profilo.
Per difendersi da questo tipo di attacchi, gli esperti raccomandano innanzitutto di attivare la verifica in due passaggi su WhatsApp, che aggiunge un ulteriore livello di protezione richiedendo un PIN personale. È fondamentale non condividere mai codici di verifica ricevuti via messaggio, nemmeno se la richiesta proviene apparentemente da un contatto fidato. Prima di cliccare su qualsiasi link sospetto, anche se inviato da persone conosciute, è consigliabile verificare telefonicamente l’autenticità della richiesta.