Negli ultimi giorni è tornata una delle minacce di phishing più diffuse su WhatsApp, e la vulnerabilità più sfruttata dai cybercriminali non è di natura tecnica, ma umana.
Il meccanismo del furto d’identità sul servizio di messaggistica di Meta inizia solitamente con la ricezione imprevista di un SMS contenente un codice di verifica autentico generato dalla piattaforma. In breve tempo, l'utente viene contattato da un profilo familiare, spesso un contatto già compromesso in precedenza, che richiede la stringa numerica giustificandola come un invio erroneo effettuato per distrazione. Cedere questo dato significa consegnare le chiavi del proprio account all'attaccante, permettendogli di accedere a chat e contatti per propagare ulteriormente la truffa verso l'intera rubrica.
Una volta ottenuto l'accesso, i malintenzionati isolano il proprietario legittimo e utilizzano le informazioni personali per finalità illecite o per tentare ulteriori estorsioni. La prevenzione più efficace risiede nell'attivazione della verifica in due passaggi all'interno delle impostazioni di sicurezza dell'applicazione. Questa funzione introduce un PIN personale obbligatorio, agendo come un secondo strato di difesa che rende inutile il solo possesso del codice ricevuto via SMS, neutralizzando così il tentativo di hijacking alla radice. Per abilitare la verifica in due passaggi è necessario navigare nelle impostazioni dell'account (Account > Verifica in due passaggi) e selezionare l'opzione dedicata, che permette di configurare un PIN segreto e un indirizzo email di recupero.
In caso di compromissione avvenuta, è necessario agire con tempestività tentando un nuovo accesso tramite il proprio numero di telefono ufficiale. Il ripristino dell'accesso avviene effettuando un nuovo login con il proprio numero e inserendo il codice di verifica ricevuto tramite SMS ufficiale. Questa procedura forza la disconnessione di eventuali sessioni abusive, restituendo immediatamente il controllo dell’identità digitale al legittimo proprietario. Resta fondamentale ignorare ogni richiesta di condivisione di codici di sicurezza e non aprire qualsiasi link che venga inviato da numeri sospetti, procedendo immediatamente al blocco e alla segnalazione del contatto sospetto per garantire l'integrità della propria rete digitale e dei dati sensibili contenuti nelle conversazioni.
