Secondo quanto segnalato da Rahul Sasi, fondatore e CEO di CloudSEk, un’azienda di sicurezza informatica indiana, sarebbe in corso una truffa WhatsApp via OTP che potrebbe consentire agli attori delle minacce di dirottare gli account degli utenti tramite telefonate.
La tecnica è molto semplice e sfrutta un servizio legittimo degli operatori telefonici ovvero il servizio di inoltro di chiamata previsto quando una utenza mobile è occupata.
Il modus operandi
Secondo il modus operandi incriminato, gli attori delle minacce invitano con una scusa l’ignara vittima a comporre un numero telefonico composto da stringhe **67* e *405* seguite da un numero a 10 cifre (il numero controllato dall’attaccante) facendo così attivare l’arrivo delle telefonate ed sms sul numero indicato dopo i codici, bypassando quello legittimamente in uso dalla vittima interlocutrice (nel caso di specie la combinazione di stringhe numeriche così composta sarebbe una richiesta di servizio per inoltro chiamata previsto dagli operatori telefonici indiani Jio e Airtel).
Nel frangente di tempo in cui il numero della vittima risulta occupato (perché impegnata nella conversazione) l’attaccante avvia il processo di registrazione dell’account WhatsApp legato al numero principale della vittima. Il processo prevede l’invio di un codice OTP che in tal caso viene inoltrato sul numero alternativo (presidiato dall’attaccante).
Il completamento della procedura di registrazione scollega di fatto l’account dal dispositivo della vittima collegandolo a quello dello scammer.
Prevenire è sempre meglio che curare
Non è una novità che WhatsApp sia uno dei target preferiti, vista la sua elevata diffusione. Al momento, questo schema di truffa sta prendendo di mira solo gli utenti di WhatsApp in India, ma lo stesso Sassi avverte che l’attacco potrebbe essere messo in pratica in tutti i paesi in cui gli operatori telefonici rendono disponibile un servizio di inoltro similare.
Detto questo, prevenire è sempre meglio che curare. Pertanto per proteggersi il modo migliore è quello di abilitare la verifica in due passaggi su WhatsApp e impostare un pin all’accesso.
Se ormai è troppo tardi, sarebbe auspicabile quanto prima seguire le istruzioni in caso di telefono rubato o smarrito previste dall’app di messaggistica istantanea e informare della truffa i propri contatti e la Polizia Postale.
Hai subito una truffa online? Vuoi segnalarci un reato o un sito Internet illegale nel clear o nel dark web? Scrivi alla nostra redazione.
