La brutta giornata comincia con una notifica. Roberto riceve su WhatsApp un messaggio da un contatto conosciuto — un amico, forse un collega — che lo invita a votare per “Alessandro”, presentato come un nipote iscritto a un concorso online. Niente di strano, almeno in apparenza. I concorsi di questo tipo circolano continuamente sui social.

Roberto clicca sul link. Il sito che si apre è curato, credibile, con grafica professionale. Lo invita a esprimere la sua preferenza per Alessandro.

Puoi votare per mio nipote?
Il sito di votazione falso: graficamente curato per sembrare legittimo. Roberto vota per Alessandro senza insospettirsi.
Sito per votare

Il sito è molto convincente, si premura di darci tutte le informazioni utili per aumentare la credibilità:

screenshot2

Il sito non si ferma al voto! Per “combattere le falsificazioni” e garantire l’autenticità della preferenza, chiede di verificare l’identità tramite un QR code da scansionare con WhatsApp. Sembra una misura di sicurezza. È invece il cuore della truffa.

Scansionando quel codice, Roberto ha appena aperto WhatsApp Web al dispositivo dell’hacker. Da quel momento, il criminale controlla tutto in tempo reale.

verifica1

La schermata di “verifica” con QR code: scansionandola si consegna WhatsApp Web all’hacker.

verifica2
Tentativo di autorizzazione via SMS con link WhatsApp dove inserire il codice.

Il sito inoltre fornisce tutte le informazioni utili per autorizzare la votazione, in realtà state dando l’accesso al vostro WhatsApp ed a tutto quello che contiene.

Ecco ci siamo quasi, un ultimo passo:

verifica4

A questo punto il vostro WhatApp WEB viene gestito dall’HACKER che ha a disposizione:

  • tutti i contatti
  • le chat più recenti
  • le immagini / video / documenti condivise su WhatsApp

Cosa può fare ora l’HACKER con i contatti?

  1. iniziare una nuova “campagna di adescamento” per gestire altri WhatsApp
  2. iniziare una “campagna per monetizzare” tramite una richiesta esplicita di denaro
  • Non scansionare mai QR code richiesti da siti di voto o concorsi online — WhatsApp Web si attiva solo aprendo web.whatsapp.com dal browser, non da siti terzi.
  • Prima di inviare denaro a un contatto WhatsApp, verifica sempre telefonicamente o di persona.
  • Controlla periodicamente le sessioni WhatsApp Web attive: Impostazioni → Dispositivi collegati e termina quelle non riconosciute.
  • Se ricevi un link da un amico senza preavviso, chiedigli conferma prima di aprirlo — il suo account potrebbe essere già compromesso.
  • Segnala immediatamente a WhatsApp e alle autorità se sospetti un accesso non autorizzato al tuo account.