WhatsApp sotto attacco: come difendere il tuo account e cosa fare in caso di furto.

C’è una ragione se WhatsApp è diventato il “posto” in cui finiamo per far scorrere metà della nostra vita, e non solo quella privata. È il canale dove arrivano conferme di udienze, coordinate per un sopralluogo, un documento da rivedere al volo, il cliente che scrive “solo una cosa” e poi ne diventano cinque.

Questa centralità ha un effetto collaterale inevitabile: rende l’app un bersaglio di primissima fascia.

 Su scala globale, le stime oscillano tra i numeri degli utenti mensili e quelli degli account registrati, ma l’ordine di grandezza resta impressionante: siamo nell’area dei tre miliardi, e oltre. In Italia, senza perdersi in cifre da cartolina, basta guardare la penetrazione reale: è uno strumento che quasi tutti danno per scontato, e ciò che diamo per scontato è la prima cosa che difendiamo peggio.

Qui c’è un punto che molti sottovalutano. Le storie di account rubati non nascono sempre da “falle” nel senso classico del termine, da un bug da laboratorio. Spesso nascono da qualcosa di più quotidiano, quindi più pericoloso: la distrazione, la fretta, l’abitudine a fidarsi di ciò che arriva da un contatto noto.

Il social engineering si infila proprio lì, nel riflesso automatico con cui rispondiamo a un messaggio. Non forza la serratura: ti chiede di aprire.

La truffa del codice a sei cifre è quasi l’archetipo.

Ti scrive qualcuno che sembra tuo conoscente, o un contatto realmente compromesso, con un tono credibile e spesso persino “umile”: “Scusa, mi è arrivato un codice per errore, me lo rimandi?”. Quel codice, però, non è un dettaglio irrilevante: è la chiave temporanea con cui WhatsApp verifica che il numero di telefono sia davvero nelle mani di chi sta registrando l’account su un nuovo dispositivo. Condividerlo significa autorizzare, di fatto, l’accesso. È un attacco che vive di normalità: la richiesta non sembra tecnica, non sembra pericolosa, non sembra “da hacker”. È un favore. E proprio perché è un favore, scivola giù senza attrito.

Negli ultimi mesi si è parlato molto anche di un’altra famiglia di raggiri, più silenziosa: quelli che sfruttano la funzione dei dispositivi collegati, cioè la possibilità legittima di usare WhatsApp su un computer o su un tablet oltre che sul telefono. La dinamica è furba perché non ti “butta fuori” dall’account. Tu continui a usare WhatsApp come sempre, e quindi non scatta l’allarme mentale. L’esca tipica è una richiesta apparentemente innocua, spesso emotiva: votare per una bambina o un ragazzo in un concorso di danza, sostenere un’iniziativa locale, guardare una foto “che ti riguarda”. Il link porta fuori dall’app, ti guida in pochi passaggi, e l’utente finisce per associare a sua insaputa un dispositivo remoto. A quel punto l’attaccante può leggere, osservare, aspettare. E quando si muove, lo fa con un vantaggio enorme: parla con la tua voce.

Le conseguenze, soprattutto in un contesto professionale, non sono solo “mi hanno letto le chat”. C’è la perdita di riservatezza, certo: conversazioni, documenti, nominativi, fotografie, dettagli logistici. Ma poi c’è l’aspetto più insidioso: il furto d’identità comunicativa. Chi controlla il tuo account può contattare clienti, colleghi, amici, familiari, chiedere denaro, ricariche, codici, “anticipi urgenti”. Può anche costruire una catena, usando la tua credibilità per colpire altri. E nel frattempo tu devi gestire la parte umana: lo stress, la corsa a spiegare che non eri tu, il danno reputazionale che si appiccica anche quando hai fatto tutto “giusto” dopo.

Per questo la prevenzione non dovrebbe essere un sermone, ma un set minimo di abitudini. La prima, e di solito la più decisiva, è attivare la verifica in due passaggi: un PIN scelto da te, associabile a un’e-mail di recupero. È una barriera banale solo in apparenza, perché costringe l’attaccante a superare un secondo livello anche se riesce a ottenere il codice di registrazione. E quel PIN, soprattutto, non va mai condiviso, mai dettato, mai “girato” come se fosse un OTP qualunque.

La seconda abitudine è lavorare sulla privacy, non per nascondersi ma per ridurre i dettagli che rendono un attacco più facile. Limitare foto profilo, stato e ultimo accesso ai soli contatti abbassa la superficie informativa che un truffatore può usare per imitarti o per scegliere il momento migliore. La terza è l’igiene digitale, che detta così sembra un’etichetta, ma nella pratica è una disciplina semplice: i link si trattano come appuntamenti presi al buio, e le richieste anomale si verificano “fuori banda”, con una chiamata o un messaggio su un canale diverso. Non è diffidenza verso le persone: è rispetto per la realtà in cui viviamo.

Quando l’incidente accade davvero, la differenza tra un danno contenuto e un disastro spesso sta in una manciata di minuti. E no, non è sempre colpa di chi subisce l’attacco: certe truffe sono costruite apposta per sembrare routine. La cosa utile, in quel momento, è avere una sequenza mentale già pronta, quasi fredda, come si fa con le emergenze vere.

Se sospetti che l’account sia stato rubato, la prima mossa è brutale ma efficace: registrare di nuovo il tuo numero su WhatsApp dal tuo telefono. Inserisci il codice ricevuto via SMS o chiamata e, nella maggior parte dei casi, questo passaggio disconnette automaticamente le sessioni attive altrove. È un modo per riprendere possesso della “radice” dell’account, cioè il numero. Non risolve tutto da solo, ma spesso taglia l’accesso all’attaccante prima che possa fare ulteriori danni.

C’è però un caso che merita sangue freddo: se chi ti ha sottratto l’account ha attivato o modificato la verifica in due passaggi, potresti trovarti davanti alla richiesta di un PIN che non hai impostato tu. In assenza di e-mail di recupero, le procedure prevedono un’attesa prima di poter reimpostare quel PIN. È una situazione spiacevole proprio perché la misura di sicurezza diventa anche un ostacolo per il legittimo proprietario. Ed è uno dei motivi per cui l’e-mail di recupero non è un optional “comodo”: è la tua uscita d’emergenza.

Nel frattempo, c’è un controllo che dovrebbe diventare un’abitudine periodica, non un gesto da panico: la sezione dei dispositivi collegati. È lì che vedi se esistono sessioni aperte su browser o computer che non riconosci. Se trovi qualcosa di strano, la regola è semplice: disconnetti. Non metterti a fare l’investigatore mentre la porta è ancora socchiusa. Prima chiudi, poi ragioni. E dopo aver chiuso, torna alle basi: attiva (o ripristina) la verifica in due passaggi, aggiorna il sistema operativo, verifica che la SIM sia sotto controllo, e avvisa i contatti potenzialmente esposti con un messaggio sobrio, senza dettagli inutili ma chiaro: “Se vi arrivano richieste di denaro o codici, non sono io”.

Capita anche un’altra situazione, a volte conseguenza indiretta del furto: l’account sospeso o bannato per attività considerate spam. Qui l’errore frequente è pensare che non ci sia nulla da fare. In realtà, l’app consente di chiedere una revisione direttamente dall’interfaccia quando compare l’avviso di sospensione. Non esiste una promessa di tempi identici per tutti, e sarebbe ingenuo crederci, ma l’esperienza comune è che in molti casi le risposte arrivano relativamente in fretta. L’aspetto importante è evitare mosse che peggiorano il quadro: inviare richieste ripetute in serie, cambiare continuamente dispositivo, inseguire scorciatoie con app non ufficiali. In un contesto già instabile, aggiungere rumore non aiuta.

Per i professionisti e per le aziende, WhatsApp Business non è un mondo a parte: molte dinamiche di sicurezza e recupero sono sostanzialmente sovrapponibili alla versione “classica”. Quello che cambia, semmai, è la posta in gioco. Un account business compromesso non è solo un fastidio: può diventare un canale di phishing verso clienti, un amplificatore reputazionale, un punto d’ingresso per attacchi più ampi. E qui torna utile un’idea che spesso manca nelle organizzazioni: la cultura della verifica. Stabilire un protocollo interno, anche informale, per confermare richieste anomale riduce di molto l’efficacia delle impersonificazioni. Basta poco: una regola condivisa per confermare a voce pagamenti o codici, una frase concordata, la consapevolezza che “controllare” non è mancanza di fiducia ma manutenzione del rischio.

Se lavori in ambiti dove la minaccia è alta per definizione, vale la pena considerare misure più avanzate. Su iPhone esiste una modalità pensata per ridurre la superficie d’attacco in scenari di rischio elevato, limitando alcune funzionalità. Nel mondo Android ci sono soluzioni pensate per chi vuole tenere la barra più alta su privacy e sicurezza, anche a costo di qualche rinuncia. Non sono per tutti: richiedono un po’ di manualità, qualche abitudine diversa e, sì, anche compromessi nella vita quotidiana. Ma il punto resta semplice: quando in gioco ci sono dati che contano davvero, non ti salva un pulsante solo. Ti salva la somma di più scelte, messe una sopra l’altra.

E alla fine la cosa è più pratica che teorica. La sicurezza non è un optional e nemmeno un segno di virtù: è manutenzione. Se vuoi farne qualcosa di immediato, adesso, senza rimandare: apri WhatsApp, controlla che la verifica in due passaggi sia attiva e che l’e-mail di recupero sia impostata, poi passa dai dispositivi collegati e guarda quella lista con la stessa attenzione con cui guardi un movimento bancario. Se c’è qualcosa che non riconosci, agisci subito.

In chiusura, più che un’idea è un gesto pratico: la sicurezza non è una bandierina da mettere sul profilo, è una routine.

 Apri WhatsApp, controlla che la verifica in due passaggi sia attiva e che l’e-mail di recupero sia impostata; poi vai nei dispositivi collegati e guarda quell’elenco con la stessa attenzione con cui guardi i movimenti del conto.

Se qualcosa non ti torna, non aspettare che “magari” passi.

Yuri Lucarini Informatico Forense – Criminologo

#Cybersecurity #WhatsAppSecurity #SocialEngineering #DigitalForensics #CyberLaw

Fonti per Approfondire:

• https://www.wired.me/story/a-simple-whatsapp-security-flaw-exposed-35-billion-phone-numbers/ ;

• https://www.gendigital.com/blog/insights/research/ghostpairing-whatsapp-attack ;

•  https://faq.whatsapp.com/1920866721452534 ; 

• https://faq.whatsapp.com/465883178708358 ; 

• https://support.apple.com/en-us/105120 ; 

• https://grapheneos.org/