WhatsApp, ci cascano tutti col finto sondaggio: la truffa ti ruba account e dati personali

Attenzione a WhatsApp: un falso sondaggio sta ingannando migliaia di utenti, rubando account e dati personali in modo subdolo. Scopri come riconoscere questa truffa e proteggere la tua privacy da rischi seri e sempre più diffusi.

Un nuovo raggiro corre su WhatsApp e sfrutta l’ennesimo travestimento “innocuo”: un sondaggio, un concorso, una votazione online.

Dietro l’apparenza di un semplice form da compilare, i cyber criminali orchestrano un accesso furtivo al vostro account di messaggistica via browser, trasformando la verifica in una porta d’ingresso per leggere chat, media e contatti in tempo reale.

A lanciare l’allarme è Kaspersky, che ha intercettato diverse campagne fraudolente e ne ha analizzato lo schema, rivelando un cambio di passo rispetto alle tecniche più note.

Fino a ieri, i truffatori cercavano di forzare il passaggio dell’account a un altro numero di telefono, convincendo la vittima a consegnare il codice a sei cifre ricevuto via SMS. Molti utenti hanno imparato a diffidare: mai condividere codici. La nuova ondata ribalta il copione. Stavolta il codice lo forniscono loro, senza chiederne alcuno in cambio, mascherandolo come parte di una “verifica” per completare l’iscrizione al concorso o al sondaggio.

Come funziona  la nuova truffa del finto sondaggio su WhatsApp

Il meccanismo inizia su social network e pagine promozionali che invitano a partecipare a test e giveaway. La registrazione richiede il numero di telefono. Subito dopo scatta una presunta validazione “per sicurezza”: il sito mostra o comunica un codice a 8 cifre e chiede di inserirlo nell’app di WhatsApp, seguendo le indicazioni che rimandano alla funzione Dispositivi collegati.

Qui sta l’inganno. WhatsApp consente di usare il servizio da computer con due metodi: il più comune è la scansione di un QR, sicura perché richiede la fotocamera dello smartphone in mano all’utente; l’alternativa è l’accesso con codice a 8 cifre, meno conosciuto.

I criminali, conoscendo il numero della vittima, avviano da remoto la procedura per collegare un nuovo dispositivo su WhatsApp Web e fanno apparire quel codice “di verifica” come parte del concorso. Se la vittima lo inserisce nell’app, autorizza di fatto il collegamento del browser del truffatore al proprio account.

Rispetto alle vecchie frodi, questa tecnica non “ruba” l’account cambiando numero. L’utente resta dentro WhatsApp e potrebbe accorgersi di anomalie: chat già lette, messaggi inviati a sua insaputa, un nuovo dispositivo nell’elenco dei collegamenti. Inoltre, per completare l’operazione, serve comunque che la vittima apra le impostazioni e raggiunga la sezione Dispositivi collegati, un passaggio che può far scattare il campanello d’allarme.

Ma la finestra di opportunità, quando si crede di stare confermando la partecipazione a un gioco o a un sondaggio, è sufficiente per dare accesso a tutto. E qui sta il vero rischio.

Con il collegamento via web, chi attacca può leggere in tempo reale le conversazioni, inclusa la cronologia pregressa e i contenuti multimediali. A differenza delle truffe basate sul cambio numero, che non espongono l’archivio delle chat, il mirino si sposta su dati personali e professionali: indirizzi, documenti condivisi, coordinate bancarie, confidenze private. Un materiale che può alimentare furti d’identità, frodi mirate, campagne di phishing iper-personalizzate e persino ricatti.

Nessun concorso serio chiede di “verificare” un’iscrizione entrando nelle impostazioni di WhatsApp. Se compare un codice a 8 cifre associato a WhatsApp fuori dall’app, fermatevi: è verosimilmente un tentativo di collegamento di un nuovo dispositivo.

Avvisi inattesi di “nuovo accesso” o notifiche di dispositivo collegato sono red flag da controllare subito. Messaggi segnati come letti o inviati senza ricordarlo sono indizi di possibile intrusione.

Non inserire mai codici ricevuti o visualizzati fuori dall’app in Dispositivi collegati. L’unico percorso sicuro è la scansione del QR direttamente da web.whatsapp.com quando lo avete deciso voi. Diffidare di sondaggi, test e concorsi che chiedono il numero di telefono come prerequisito o rimandano a “verifiche” via app di messaggistica.

Verificare regolarmente la sezione Dispositivi collegati in WhatsApp e scollegare qualsiasi sessione che non riconoscete. Attivare la verifica in due passaggi di WhatsApp con PIN e email di recupero per rendere più difficile qualunque manomissione. Aggiornare l’app e il browser: le versioni più recenti introducono avvisi e protezioni aggiuntive. Segnalare inserzioni sospette ai social e, in caso di danno, rivolgersi alla Polizia Postale.

Aprite WhatsApp, andate su Dispositivi collegati e scollegate tutti quelli che non riconoscete. Cambiate immediatamente il PIN della verifica in due passaggi e, se non attiva, abilitatela. Controllate le chat recenti per individuare eventuali messaggi inviati dall’intruso e avvisate i contatti del possibile compromesso.

Valutate di effettuare il logout da tutti i dispositivi, anche quelli legittimi, per ripartire da un ambiente pulito. Se in chat avete condiviso documenti o dati sensibili, considerate di bloccare carte, modificare password e attivare monitoraggi antifrode presso il vostro istituto. Conservate screenshot e URL delle pagine del “concorso” e presentate denuncia: aiutano a contrastare le campagne in corso.

La miglior difesa, ricordano gli esperti, è riconoscere l’anomalia di fondo: nessuna verifica legittima vi chiederà di completare un’azione tecnica dentro WhatsApp per convalidare un sondaggio o una promozione. In caso di dubbio, chiudete la pagina, non inserite nulla e cercate informazioni ufficiali sui canali dell’azienda o della piattaforma coinvolta.