La vecchia truffa del codice a sei cifre su WhatsApp non è mai davvero scomparsa, ma negli ultimi mesi è tornata a diffondersi con forza. A segnalarlo è la Sezione Operativa per la Sicurezza Cibernetica della Polizia Postale di Cremona, che ha registrato un aumento significativo delle denunce. I cybercriminali utilizzano sempre lo stesso schema: sottrarre l’account WhatsApp di una vittima per poi sfruttarlo in nuovi tentativi di raggiro.
Come funziona il raggiro
La truffa si basa sulla funzione “cambia numero” dell’app, che consente di trasferire il proprio account su un altro numero tramite un codice a sei cifre inviato via SMS. Il punto debole è proprio quel codice. Il messaggio-trappola arriva da un numero salvato in rubrica, rendendo più difficile sospettare un inganno. È la tattica che, come raccontato da Tommaso, una delle vittime, induce a credere che la richiesta sia autentica.
Il messaggio segue quasi sempre lo stesso schema: “Ciao, ti ho inviato un codice per sbaglio, potresti rimandarmelo?”. Poco prima o poco dopo arriva l’SMS ufficiale di WhatsApp con il codice di verifica. A quel punto, se l’utente lo inoltra, il cybercriminale prende immediatamente il controllo dell’account. La vittima viene così esclusa dal proprio profilo: non può più accedere da telefono, desktop o WhatsApp Web.
Ottenuto l’account, il truffatore può leggere messaggi, vedere foto, contattare i conoscenti della vittima e utilizzare il suo nome per proseguire la catena di truffe. Un meccanismo che si autoalimenta, perché il criminale usa il profilo sottratto per mandare lo stesso messaggio ad altre persone.
Perché il messaggio sembra autentico
Il vero trucco sta nel fatto che il messaggio «esca» proviene da un contatto reale. Questo accade perché l’account di quella persona è già stato hackerato, spesso con lo stesso sistema. Così la truffa si diffonde “a cascata” all’interno delle rubrica, sfruttando la fiducia tra conoscenti. È un effetto domino potenzialmente infinito, che moltiplica le vittime in poco tempo.
Il codice inviato via SMS non è generato dal truffatore, ma da WhatsApp stesso, che interpreta la richiesta del criminale come un tentativo legittimo di cambio numero. La piattaforma, ignara dell’inganno, invia quindi il codice di verifica all’intestatario dell’account.
Come difendersi davvero
Secondo la Polizia Postale, la prima regola è semplice: non comunicare mai codici o pin ricevuti via SMS o email, nemmeno a persone note. Nessun servizio serio chiede di inoltrare codici di sicurezza. È fondamentale attivare la verifica in due passaggi su WhatsApp, che aggiunge un ulteriore livello di protezione, e abilitare le notifiche di sicurezza.
Ogni volta che arriva un messaggio sospetto, anche da un contatto salvato, è buona norma effettuare una verifica diretta con quella persona, magari con una telefonata. Un piccolo controllo può evitare il furto dell’account e l’avvio di una catena di truffe.