WhatsApp sotto attacco: scoperta campagna che sfrutta il collegamento dispositivi

Un gruppo di cybercriminali ha messo a punto una tecnica sofisticata per prendere il controllo degli account WhatsApp senza bisogno di violare password o intercettare codici SMS. La campagna, battezzata GhostPairing, sfrutta una funzionalità standard dell'app di messaggistica: il collegamento di dispositivi aggiuntivi. Gli attacchi sono stati documentati inizialmente in Repubblica Ceca, ma la natura del meccanismo permette una rapida diffusione geografica, utilizzando gli account già compromessi come trampolino per raggiungere nuove vittime.

Come funziona l'attacco: secondo GenDigital, che ne ha diffuso i dettagli, la vittima riceve un messaggio apparentemente innocuo da un contatto presente nella propria rubrica, solitamente con un testo del tipo "Guarda, ho trovato una tua foto online!" accompagnato da un collegamento. Il link si presenta con un'anteprima grafica che richiama lo stile di Facebook, aumentando la percezione di affidabilità. Chi clicca viene reindirizzato verso una pagina contraffatta, ospitata su domini progettati per somigliare al social network, dove viene richiesta una presunta verifica dell'identità prima di accedere al contenuto promesso.

La pagina fraudolenta attiva in realtà il processo legittimo di accoppiamento dispositivi di WhatsApp. All'utente viene richiesto di inserire il proprio numero di telefono, che l'attaccante utilizza per avviare una procedura di collegamento autentica verso i server dell'app. WhatsApp genera un codice numerico che dovrebbe essere utilizzato esclusivamente dal proprietario dell'account per autorizzare un nuovo dispositivo, ma gli attaccanti possono visualizzare il codice sulla pagina contraffatta, chiedendo alla vittima di inserirlo nell'app per completare la verifica. Molti utenti, convinti di star effettuando un normale controllo di sicurezza, immettono il codice senza sospettare le conseguenze.

Una volta completato il collegamento, gli aggressori ottengono accesso totale all'account della vittima attraverso WhatsApp Web o l'applicazione desktop. Possono leggere l'intera cronologia delle conversazioni, visualizzare e scaricare foto, video e documenti condivisi, inviare messaggi impersonando l'utente legittimo e inoltrare la stessa esca ad altri contatti e gruppi. Il dispositivo originale della vittima continua a funzionare normalmente, rendendo estremamente difficile accorgersi della compromissione. Gen Digital sottolinea come numerose persone non si rendano conto della presenza di un nuovo dispositivo collegato, aspetto che consente ai criminali di osservare ogni conversazione senza essere scoperti.

Per verificare se il proprio account è stato compromesso, gli utenti devono accedere alle Impostazioni di WhatsApp, selezionare la sezione Dispositivi collegati e controllare attentamente la presenza di dispositivi non riconosciuti. La tecnica del collegamento tramite codice numerico risulta particolarmente efficace per gli attaccanti rispetto alla scansione di codici QR, poiché l'intero processo può avvenire sullo stesso smartphone della vittima, rendendo l'inganno più fluido e scalabile.

La pericolosità di GhostPairing risiede proprio nella sua capacità di colpire utenti con livelli di preparazione differenti. Chi possiede una buona conoscenza delle dinamiche di sicurezza informatica può identificare rapidamente gli elementi sospetti: richieste anomale di codici, pagine web con URL non ufficiali, messaggi che spingono ad azioni immediate. Tuttavia, la maggior parte degli utenti meno esperti o semplicemente distratti può facilmente cadere nella trappola, consegnando inconsapevolmente ai criminali l'accesso completo ai propri dati sensibili, conversazioni private e contatti. La vigilanza costante rappresenta l'arma principale contro questi attacchi: diffidare di qualsiasi messaggio che richieda l'inserimento di codici, anche quando proviene da amici o familiari, rimane la strategia più efficace. Poiché tecniche analoghe hanno già dimostrato la loro efficacia su altre piattaforme di messaggistica, attivare l'autenticazione a due fattori su tutti i servizi utilizzati e adottare comportamenti prudenti nella navigazione quotidiana costituiscono prassi fondamentali per mantenere al sicuro la propria identità digitale e le informazioni personali.