WhatsApp: attenzione alla truffa del codice a sei cifre! Ecco come funziona e come difendersi

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/telefo...rsi_95788.html

Alcuni hacker, non ancora identificati, stanno sfruttando l’applicazione di messaggistica di WhatsApp per impossessarsi del cellulare di ignari utenti rubandone l’identità. Il furto avviene attraverso un codice di 6 cifre ricevuto via SMS. Ecco come funziona.

Click sul link per visualizzare la notizia.

[Notturnia]

mi si puo' tradurre "tappare su di un link" ?.. metto un tappo ?.. perchè in italiano non capisco il diretto significato di tappare.. mentre posso immaginare sia una storpiatura di "to tap" inglese.. ma tappare in italiano ha un significato diverso..

[Thoruno]

"Una nuova truffa che si sta diffondendo da qualche giorno"

Che sia da qualche giorno ne dubito, è circa un' anno che gira.
Io non uso WhatsApp ma mia moglie si e quando gli è arrivato questo sms mi ha chiesto subito cosa potrebbe essere; ho cancellato subito il messaggio dicendogli che se fosse arrivato ancora di cancellarlo di nuovo.

Uno tipo "che non conosci" che ti invia un codice e ti chiede di ritornarglielo già qui sa di imbroglio.

[rockroll]

Quote:

Originariamente inviato da Notturnia

mi si puo' tradurre "tappare su di un link" ?.. metto un tappo ?.. perchè in italiano non capisco il diretto significato di tappare.. mentre posso immaginare sia una storpiatura di "to tap" inglese.. ma tappare in italiano ha un significato diverso..

In italico direi sditazzare su un link.

[biometallo]

Quote:

Originariamente inviato da rockroll

In italico direi sditazzare su un link.

LOL
Comunque seriamente mi sfugge il senso di coniare neologismi così atroci, che per di più vanno a confondersi con termini già esistenti, si potrebbe usare semplicemente premere (perché comunque sullo schermo sempre un minimo di pressione si esercita) toccare, aprire (perché alla fine lo scopo è quello) ecc... e invece no bisogna scrivere termini "petalosi"

[Mister24]

Quote:

Originariamente inviato da Thoruno

Uno tipo "che non conosci" che ti invia un codice e ti chiede di ritornarglielo già qui sa di imbroglio.

Diciamo che la truffa è un po' più subdola, perché il tipo che ti chiede il codice è appunto uno che conosci e che è già cascato nella truffa.
Ma comunque concordo che bisogna essere abbastanza ingenui per cadere in queste truffe.
E comunque non ho ben capito lo scopo di rubare un account Whatsapp.
Cioè se mi rubano il mio sanno vengono a scoprire il mio nome, la mia foto di profilo e i contatti che ho, ma non sono particolari dati sensibili o comunque dati da cui potresti ricavarci qualcosa.
Comunque i messaggi vecchi non li recupera.

[al135]

PUOI PASSARMELO PER FAVORE è URGENTE
hahahahah
pensa quanti lesi devono esistere per cadere in truffe cosi mal fatte

[Sandro kensan]

Diciamo che la truffa è efficace anche perché chi ti manda quel sms è uno di famiglia o un conoscente stretto o comunque uno nella tua rubrica telefonica, quindi lo conosci, perciò occorre proprio avere letto questa notizia per non fare la cortesia a uno che conosci magari bene di rimandargli l'sms, in fin dei conti nessuno ha mai rischiato nulla mandando un sms.

Poi io non uso Whatsup, quindi non mi faccio problemi.

Chi dice che la propria identità non vale soldi non è a conoscenza di molte cose. In particolare con questo genere di dati si può fare una carta di identità falsa (probabilmente hai tutti i dati nel tuo archivio WA), con una carta di identità falsa e il numero di cellulare puoi andare in un centro TIM/Vodavfone/Wind e dire che ti hanno rubato il cellulare e farti dare una sim nuova con lo stesso numero di telefono. Con la nuova SIM puoi fare molte cose perché hai fatto saltare il 2FA, l'autenticazione a due fattori. Per esempio puoi accedere a gmail, ti basta possedere la sim della vittima e avere il suo nome di login (che su WA c'è senz'altro) su gmail hai sicuramente un sacco di informazioni tra cui tutti i dati della tua banca. Con i dati della tua banca e la SIM puoi trasferire la tua app dal tuo telefono al telefono del truffatore e accedere al conto corrente in app, fare bonifici come questo:

https://www.ilfattoquotidiano.it/202...rezza/5686547/

Quote:

I soldi sono spariti dal conto corrente tramite quattro bonifici, ordinati con causali fantasiose, come una “manodopera per orlo pantaloni” da oltre 13mila euro. Quando se n’è accorto, insieme alla moglie, la sera del 18 novembre scorso, era troppo tardi: “Abbiamo provato a fare il richiamo delle operazioni, ma non è stato possibile”. Il giorno dopo è scattata la denuncia e la polizia postale non ci ha messo tanto per capire che erano stati vittima di ‘sim swap’.

[zbear]

No, ma .... e come diavolo funzionerebbe, 'sta cosa? E' davvero difficile che rimandando un sms con un codice fasullo e inventato uno possa prendere possesso del MIO WA. Non sta in piedi .....
A meno che, appunto, non si debba clickare su un link, il che significa CERCARSELI i guai ....

[Sandro kensan]

Quote:

Originariamente inviato da zbear

No, ma .... e come diavolo funzionerebbe, 'sta cosa? E' davvero difficile che rimandando un sms con un codice fasullo e inventato uno possa prendere possesso del MIO WA. Non sta in piedi .....
A meno che, appunto, non si debba clickare su un link, il che significa CERCARSELI i guai ....

Immagino (è solo una fantasia) che quel codice sia stato dato da WA per passare l'app da un telefonino a un altro (quello del malfattore). Forse riescono a mandare quel codice a WA se tu rispondi all'sms ed è come se lo avessi inviato tu a WA.

Comunque questo dimostra una volta di più che lo smartphone è peggio di windows e che è irresponsabile tenerci tutti i propri soldi. Chi pensa che lo smartphone sia un sistema sicuro per tenerci i soldi della banca dentro l'app vive nella fantasia secondo me, io non lo faccio e questa è una ulteriore prova che faccio bene.

[euscar]

Scuaste, ma come si fa a cascarci?

Se uno manda per errore un sms, ha la copia del messaggio inviato, quindi a che gli servirebbe ricevere indietro lo stesso messaggio?

[Mister24]

Quote:

Originariamente inviato da Sandro kensan

Chi dice che la propria identità non vale soldi non è a conoscenza di molte cose. In particolare con questo genere di dati si può fare una carta di identità falsa (probabilmente hai tutti i dati nel tuo archivio WA), con una carta di identità falsa e il numero di cellulare puoi andare in un centro TIM/Vodavfone/Wind e dire che ti hanno rubato il cellulare e farti dare una sim nuova con lo stesso numero di telefono. Con la nuova SIM puoi fare molte cose perché hai fatto saltare il 2FA, l'autenticazione a due fattori. Per esempio puoi accedere a gmail, ti basta possedere la sim della vittima e avere il suo nome di login (che su WA c'è senz'altro) su gmail hai sicuramente un sacco di informazioni tra cui tutti i dati della tua banca. Con i dati della tua banca e la SIM puoi trasferire la tua app dal tuo telefono al telefono del truffatore e accedere al conto corrente in app, fare bonifici come questo:

https://www.ilfattoquotidiano.it/202...rezza/5686547/

Scusami come faresti a fare una carta d'identità falsa con l'account Whatsapp?
Da notare che Whatsapp non memorizza niente nel cloud, ma è tutto locale, mentre ad esempio Telegram ha tutto nel cloud.
Quindi l'eventuale truffatore avrebbe solo la lista dei gruppi a cui appartengo con relativi contatti e i messaggi che mi veranno inviati da quel momento in poi.
Forse ti confondi con quanto successo a Ho.Mobile che è ben diverso.

[Marckus87]

per fortuna che questi cellulari non fanno detonare bombe, perché in mano a sti fessi sarebbero armi di distruzione di massa

[fastfinger]

C'è qualcosa di illogico:
Chi manda l'sms? un CLONE di un mio contatto? E perché si parla di profilo? Quale? Su un sms?
Chi e con quale mezzo comunica che l'account WA è bloccato?
Il codice a 6 cifre, che ho già impostato da un po' di tempo, dovrebbe servire, in mancanza, a NON duplicare l'account su un altro cell. Se lo faccio per me stesso, serve. Bene.
Come qualcuno ha già giustamente notato la richiesta di rimandare un sms perché inviato per errore è vecchia come il cucco. Si usava la stessa penosa battuta anche con le e-mail, molti anni prima dei cell.
E poi cosa rimando il codice che mi è stato inviato "per errore"? Questo non l'ho capito. Per quale motivo dovrei mandare il mio se mi si chiede di rimandare il messaggio? Quando ho attivato il codice non mi è arrivato alcun sms. Scusate mi pare ci sia un po' di confusione sulla sequenza degli eventi.

[Sandro kensan]

Quote:

Originariamente inviato da Mister24

Scusami come faresti a fare una carta d'identità falsa con l'account Whatsapp?
Da notare che Whatsapp non memorizza niente nel cloud, ma è tutto locale, mentre ad esempio Telegram ha tutto nel cloud.

Esatto, Telegram memorizza nel cloud mentre fino ad oggi (e potrebbe cambiare idea domani) WA memorizza in locale dove altre app come quella del malware di cui cui si è parlato una o due settimane fa opera.

Pensi veramente che WA non memorizzi nel cloud perché ha letto questa news?

Quote:

Quindi l'eventuale truffatore avrebbe solo la lista dei gruppi a cui appartengo con relativi contatti e i messaggi che mi veranno inviati da quel momento in poi.
Forse ti confondi con quanto successo a Ho.Mobile che è ben diverso.

Scusa la strafottenza ma l'abc l'abbiamo dimenticato?

Chi sarebbe «l'eventuale truffatore»? Una o due persone o un gruppo o una comunità? Dico questo perché molti sembrano dimenticare che i malviventi sono una comunità, hanno i loro marketplace e si danno una mano l'un con l'altro. Questo per dire che se un truffatore ha un dato e un altro truffatore ha un altro dato non è che sia vietato fare uno più uno. Si può fare anche 1+1+1+1+...!

Ritornando a quello che dici non ha nessun senso dire:

Quote:

l'eventuale truffatore avrebbe solo

Ogni truffatore ha "solo" ma è come se ogni truffatore avesse tutto. Questo è l'abc. Poi il motore di tutto è la notizia che ho linkato del FQ.it in cui un signore ha nel conto corrente 50 mila euro e con una tale cifra la serie di 1 che citavo prima è molto lunga. (1+1+1+1+1...)

Comunque scusa e scusate la strafottenza. In fin dei conti non sono affari miei se uno ha l'app della banca sullo smartphone.

[fastfinger]

Mi scrive un mio contatto (...) dicendo che si è sbagliato numero di cell nel notificare a WA il cambio di cell. Fosse pure mia madre per nessun motivo al mondo le darei il mio codice. Se uno è così gonzo è bene che gli clonino il profilo. Come è bene che tutti gli sprovveduti vengano castigati. La grossa conquista di internet è proprio nell'informazione in tempo reale. Se la si usa solo per FB, WA e compagnia cantando senza un pizzico di acume e di spirito critico quando si legge una QUALSIASI cosa, è bene sbatterci la testa. Ed è bene ricordare alcune cose: Non cliccare mai un link; se una cosa è gratis il prodotto sei tu. Buona fortuna!

[Mister24]

Quote:

Originariamente inviato da Sandro kensan

Esatto, Telegram memorizza nel cloud mentre fino ad oggi (e potrebbe cambiare idea domani) WA memorizza in locale dove altre app come quella del malware di cui cui si è parlato una o due settimane fa opera.

Pensi veramente che WA non memorizzi nel cloud perché ha letto questa news?



Scusa la strafottenza ma l'abc l'abbiamo dimenticato?

Chi sarebbe «l'eventuale truffatore»? Una o due persone o un gruppo o una comunità? Dico questo perché molti sembrano dimenticare che i malviventi sono una comunità, hanno i loro marketplace e si danno una mano l'un con l'altro. Questo per dire che se un truffatore ha un dato e un altro truffatore ha un altro dato non è che sia vietato fare uno più uno. Si può fare anche 1+1+1+1+...!

Ritornando a quello che dici non ha nessun senso dire:



Ogni truffatore ha "solo" ma è come se ogni truffatore avesse tutto. Questo è l'abc. Poi il motore di tutto è la notizia che ho linkato del FQ.it in cui un signore ha nel conto corrente 50 mila euro e con una tale cifra la serie di 1 che citavo prima è molto lunga. (1+1+1+1+1...)

Comunque scusa e scusate la strafottenza. In fin dei conti non sono affari miei se uno ha l'app della banca sullo smartphone.

Secondo me stai facendo una grossa confusione.
E' logico che se ho il telefono completamente compromesso l'eventuale comunità hacker mi può rubare i soldi del conto corrente.
Ma io parto dal presupposto che la SIM del mio telefono al momento è sicura e non mi sembra di avere malware.
L'account Whatsapp nel caso non aggiungerebbe informazioni per potermi rubare qualcosa. La mia banca non mi manda dati su Whatsapp e nemmeno via email.
L'articolo che hai citato si riferiva al SIM Swap che può essere fatto se conosci il seriale della mia SIM (cosa centra con Whatsapp?).

Quindi arriva questa comunità di hacker e (tra le altre cose che conosce di me) scopre che faccio parte di un gruppo di trekking. Interessante......

[luki]

Non ci voglio credere che esiste qualcuno che abbocca...
Siamo nel 2021 un minimo di conoscenze si dovrebbero avere...
Io ritengo sempre che siamo nell0'ambito della selezione naturale.

[Sandro kensan]

Quote:

Originariamente inviato da Mister24

Secondo me stai facendo una grossa confusione.
E' logico che se ho il telefono completamente compromesso l'eventuale comunità hacker mi può rubare i soldi del conto corrente.
Ma io parto dal presupposto che la SIM del mio telefono al momento è sicura e non mi sembra di avere malware.
L'account Whatsapp nel caso non aggiungerebbe informazioni per potermi rubare qualcosa. La mia banca non mi manda dati su Whatsapp e nemmeno via email.
L'articolo che hai citato si riferiva al SIM Swap che può essere fatto se conosci il seriale della mia SIM (cosa centra con Whatsapp?).

Quindi arriva questa comunità di hacker e (tra le altre cose che conosce di me) scopre che faccio parte di un gruppo di trekking. Interessante......

Solo un appunto. Ho appena fatto una ricerca sul mio archivio delle email, la banca mi ha scritto:

Quote:

Gentile nome e cognome,
....
...
Ti segnaliamo che in data : xxx ora : xxx hai effettuato un accesso con "nome di login".

e già qui siamo messi bene. Abbiamo il numero di telefono del proprietario del conto corrente, il nome e cognome e la login della banca. Cosa serve per avere questi dati? L'accesso alla email (gmail) e l'accesso alla rubrica (altrui). Cosa se ne può fare di questi dati? Venderli e guadagnarci soldi. Cosa se ne può fare chi li compra? li può accumulare e quando li ha tutti quelli che servono li vende. Chi li compra li usa per guadagnarci e un modo è svaligiare il conto corrente.

Serve hackerare il telefono per rubare il conto corrente? Certo che no, basta l'identità di una persona (la fotocopia della patente che c'è su gmail), e il numero di cellulare e forse anche il nome di login della banca.

Non serve la sim, non serve il telefono.

Il furto di WA può essere utile allo scopo? sicuramente è un tassello che può essere sfruttato, in che modo non te lo so dire, un modo potrebbe essere avere il numero di telefono ma certo dimostra che siamo sul livello:

«basta l'identità di una persona (la fotocopia della patente che c'è su gmail), e il numero di cellulare e forse anche il nome di login della banca.»

per cui essendo quello il livello significa che il C/C è alla mercé dei furfanti. Io quando sento che la rubrica telefonica è un dato poco importante rabbrividisco perché so che è un tassello del furto del conto corrente per chi lo tiene nello smartphone.

[biffuz]

Ma chi l'ha scritto questo articolo, Topo Gigio?
Non si capisce un accidente, sembra che gli hacker ti mandano un codice e poi te lo chiedono indietro e se rispondi ti entrano nel cell... ma che senso ha?!?
Ci ho messo un po' a capire come funziona veramente:
- l'hacker (chiamamolo hacker, vabbé...) in qualche modo sa che tu conosci un tizio
- l'hacker cerca di entrare nel tuo account whatsapp col suo cell
- whatsapp (non l'hacker) ti manda un sms con il codice di conferma
- l'hacker mette il nome e l'immagine del tizio sul suo account whatsapp e ti contatta chiedendoti il codice
- tu sei talmente fesso che ci credi e glielo dai
- lui entra nel tuo account whatsapp, non certo nel tuo cell