Whatsapp – Pagina 2 – Attivissimo.me

Finalmente backup cifrati per WhatsApp

2021-11-27
di Paolo Attivissimo
crittografia, Facebook, PodcastRSI, privacy, ReteTreRSI, Whatsapp

WhatsApp sta chiudendo una lacuna di sicurezza importante e spesso trascurata:
le comunicazioni fatte con questo sistema di messaggistica, che è di proprietà di
Facebook, sono protette contro le intercettazioni abusive dalla
crittografia end-to-end, ma i backup di queste comunicazioni non
lo sono affatto.

Questo consente di recuperare le comunicazioni se si riesce a mettere le mani
su uno di questi backup, salvati per esempio su Google Drive per i dispositivi
Android o su iCloud per i dispositivi Apple. Se qualcuno vi ruba le password
dell’account Google o iCloud, ha accesso a tutto quello che avete scritto su
WhatsApp, se l’avete salvato in questi backup in cloud, come WhatsApp
chiede insistentemente di fare.

La settimana scorsa Mark Zuckerberg ha
annunciato
su Facebook che gli utenti prossimamente potranno scegliere di crittografare
anche questi backup. Ha anche precisato che Facebook ha pubblicato un
white paper, un documento tecnico intitolato
Security of End-To-End Encrypted Backups, che descrive dettagliatamente come è stata realizzata questa funzione.

Cybersecurity360
spiega (in italiano) il funzionamento di questi backup cifrati: WhatsApp
chiederà di
“salvare una chiave di crittografia a 64 bit o di creare una password
associata alla chiave”. La chiave verrà memorizzata
“in un modulo fisico di sicurezza hardware (HSM, Hardware Security Module)
che agisce come una cassetta di sicurezza e può essere sbloccato solo
utilizzando la password corretta. WhatsApp sa solo che esiste una chiave in
un HSM, non la chiave stessa o la password associata per sbloccarla.”

The Register
nota che non è la prima volta che WhatsApp offre crittografia dei backup: lo
aveva già fatto anni fa per i backup su iCloud, ma il metodo usato aveva un
difetto
che lo rendeva attaccabile usando una SIM avente lo stesso numero di quella
della vittima.

Vedremo come andranno le cose questa volta, ma bisogna ricordare che ogni
comunicazione ha almeno due partecipanti, e questo vuol dire che voi potete
essere diligentissimi nella protezione dei vostri messaggi, ma se uno solo dei
vostri interlocutori non è altrettanto diligente, è tutto inutile e i messaggi
saranno comunque accessibili a un aggressore sufficientemente deciso. La cosa
più semplice, in molti, casi, è semplicemente non avere backup di messaggi.
Meglio ancora, non usare queste applicazioni per comunicazioni riservate.

Allora, i messaggi di WhatsApp sono cifrati e privati o no? Panico da ProPublica

2021-11-27
di Paolo Attivissimo
antibufala, PodcastRSI, ReteTreRSI, Whatsapp

Una recente indagine di ProPublica ha scatenato un putiferio di preoccupazioni sulla effettiva riservatezza dei messaggi di WhatsApp.

“WhatsApp legge i messaggi delle chat”, ha titolato ANSA. Un titolo che fa sembrare che WhatsApp legga, o possa leggere, tutti i messaggi che circolano sulla sua piattaforma. Ma non è così, e l’indagine di ProPublica non dice nulla del genere.

Cominciamo dai concetti di base. Le comunicazioni effettuate tramite WhatsApp sono cifrate con crittografia end-to-end. Questo vuol dire che sono cifrate da un capo all’altro della conversazione, ossia da quando escono dal dispositivo del mittente fino a quando arrivano sul dispositivo del destinatario. Di conseguenza, i contenuti di queste comunicazioni non sono intercettabili in transito, né da Facebook, proprietaria di WhatsApp dal 2014, né dalle forze dell’ordine.

Questo fa pensare a molti utenti che le comunicazioni fatte con WhatsApp siano assolutamente private, ma è sbagliato. Infatti l’indagine di ProPublica spiega che WhatsApp ha circa un migliaio di “moderatori” incaricati di valutare i messaggi che violano le regole di WhatsApp.

Ma qui sta l’equivoco: parecchi media hanno frainteso, pensando che l’esistenza dei moderatori implichi che queste persone possano leggere tutti i messaggi. Non è così: i moderatori possono leggere soltanto i messaggi che vengono segnalati dagli utenti.

Infatti se segnalate un messaggio, un gruppo o qualcuno su WhatsApp, “WhatsApp riceve i messaggi più recenti che ti sono stati inviati da un
contatto o un gruppo segnalati, nonché informazioni sulle tue recenti
interazioni con l’utente segnalato”. È scritto chiaro e tondo nelle pagine informative di WhatsApp. Secondo Ars Technica, WhatsApp riceve specificamente gli ultimi quattro messaggi precedenti nel thread oltre al messaggio segnalato.

WhatsApp riceve questi messaggi più recenti senza crittografia: è come se faceste uno screenshot ai messaggi in questione e lo mandaste a WhatsApp. Deve poterli leggere, altrimenti non li può valutare.

In altre parole, su questo punto ProPublica ha scoperto l’acqua calda. Il fatto che i moderatori di WhatsApp possano leggere i messaggi segnalati (e solo quelli) è noto e documentato da tempo.

—

C’è però anche un altro modo in cui i messaggi di WhatsApp non sono privati, e stavolta riguarda tutti i messaggi ed è stato ribadito correttamente da ProPublica. Facebook non può leggere i contenuti dei messaggi, ma può attingere ai loro metadati, ossia a tutte le informazioni di contorno di qualunque comunicazione effettuata tramite WhatsApp: chi ha parlato con chi, a che ora, per quanto tempo, se si sono scambiati foto o video, in quale gruppo è avvenuta la comunicazione, chi sono i partecipanti al gruppo, eccetera. Questo è sufficiente per la maggior parte delle indagini delle forze di polizia, come nota Ars Technica citando vari procedimenti legali negli Stati Uniti e in Brasile.

Per esempio, bastano i metadati per dimostrare che avete comunicato via WhatsApp con una persona sospettata di reato: spetterà poi a voi spiegare come mai avete comunicato e di cosa avete parlato. E a quel punto il vostro telefonino potrà probabilmente essere esaminato dagli inquirenti, che ne estrarranno tutte le conversazioni di WhatsApp (e non solo) con programmi come UFED o Oxygen.

In sintesi: se volete davvero comunicare in modo assolutamente privato, non usate WhatsApp, Telegram o qualunque altra applicazione di messaggistica commerciale. Threema, Signal e Wickr danno qualche garanzia in più, ma la sicurezza e la privacy sono un processo, non un prodotto. È inutile avere app ultraprotette se poi lasciate in giro tracce di altro genere.

WhatsApp cambia idea di nuovo

Nuova puntata nella saga dei cambiamenti di WhatsApp. I nuovi termini di
utilizzo di cui si parla ormai da mesi, quelli che dovevano entrare in vigore
l’8 febbraio ma poi sono stati
posticipati
al 15 maggio, adesso sono cambiati ancora una volta.

WhatsApp aveva annunciato una
riduzione graduale delle funzioni
per chi non avesse accettato le nuove regole. E invece no. WhatsApp ha cambiato di nuovo idea e ora dice che non prevede più
di limitare il funzionamento dell’app per chi non ha ancora accettato le
nuove condizioni di utilizzo.

L’azienda ha infatti dichiarato a
TheNextWeb che le “recenti discussioni con varie autorità e vari esperti di privacy” l’hanno portata a decidere di ”non avere intenzione di limitare la funzionalità di WhatsApp”, ma di “continuare a ricordare agli utenti periodicamente questo aggiornamento.”

WhatsApp ha aggiornato la propria pagina informativa, scrivendo che non intende al momento “rendere questi
promemoria persistenti né limitare le funzionalità dell’applicazione […] WhatsApp non eliminerà il tuo account se non accetti l’aggiornamento.”

Secondo Punto Informatico, il doppio cambiamento è probabilmente legato “alle pressioni ricevute da
alcuni paesi, tra cui la
Germania, oppure alla fuga di utenti verso i servizi concorrenti (Telegram e
Signal, in particolare)”.

Sia come sia, WhatsApp sta creando una gran confusione che non sembra indicare una pianificazione attenta e ponderata. Non saranno contenti quelli che hanno accettato le nuove condizioni, sotto la “minaccia” di essere banditi dall’app e quindi di perdere tantissimi contatti interpersonali, e ora scoprono che avrebbero potuto benissimo fare a meno di accettare.

Falso allarme Whatsapp per le impostazioni di gruppo

2021-11-27
di Paolo Attivissimo
antibufala, PodcastRSI, ReteTreRSI, Whatsapp

Sta circolando un avviso, diffuso dal passaparola degli utenti, secondo il quale WhatsApp avrebbe cambiato senza preavviso le impostazioni per i gruppi, attivando un’opzione che consente a chiunque di aggiungere un utente a un gruppo senza il suo consenso.

Il messaggio che circola è di questo genere:

WhatsApp ha aggiornato le sue impostazioni senza informare gli utenti!
Ha cambiato le sue impostazioni di gruppo e ti ha aggiunto a “tutti”.
Questo significa che qualsiasi utente di WhatsApp – anche se non lo conosci – può aggiungerti a qualsiasi gruppo senza che tu ne sia a conoscenza o abbia il tuo consenso.
Reimposta subito questo cambiamento come era prima e in modo che solo i tuoi contatti possano aggiungerti a gruppi evitando che si inseriscano contatti sconosciuti o non graditi.
Fai subito questa procedura:
1. vai su WhatsApp
2. vai su Impostazioni in alto a destra
3. andare su Account
4. vai a Privacy
5. vai a Gruppi
6. cambiare questa impostazione da “tutti” a “i miei contatti”.

Secondo Snopes, non c’è motivo di allarmarsi. L’impostazione non è stata aggiornata senza informare gli utenti, ma è così almeno dal 2019, quando è stata introdotta.

Il consiglio è comunque corretto: conviene non lasciare impostata a “Tutti” quest’opzione, perché si rischia di trovarsi iscritti a gruppi contro la propria volontà. Le istruzioni indicate nell’allarme sono sostanzialmente giuste: si va in Impostazioni, Account, Privacy, Gruppi e nella sezione “Chi può aggiungermi ai gruppi” si può scegliere fra “Tutti”, “I miei contatti” e “I miei contatti eccetto…”.

La scelta consigliata è “I miei contatti”, ma se fra i vostri contatti avete persone che hanno la cattiva abitudine di aggiungervi a gruppi senza chiedervelo, potete scegliere di escludere queste persone usando “I miei contatti eccetto…”.

Anche se scegliete “I miei contatti”, potrete comunque ricevere inviti ad aggiungervi a gruppi, ma non verrete iscritti automaticamente.

WhatsApp introduce le foto che si “cancellano” da sole

2021-08-06
di Paolo Attivissimo
aggiornamenti software, privacy, sicurezza, Whatsapp

WhatsApp sta attivando una funzione che a suo dire permette agli utenti di condividere foto e video che si cancellano automaticamente dopo che sono state viste una sola volta.

Chi le riceve verrà avvisato da un’apposita icona che si tratta di contenuti temporanei, simili ai messaggi temporanei che già esistono da qualche mese in WhatsApp, come in altre app di messaggistica.

Queste foto e questi video non potranno essere inoltrati usando WhatsApp, non verranno salvati nella galleria di immagini e verranno eliminati automaticamente dopo 14 giorni se non sono stati visti.

Interessante, ma attenzione a non interpretare questa nuova funzione come una giustificazione per pensare di potere condividere disinvoltamente foto intime o personali contando sul fatto che una volta viste spariranno per sempre: come per tutte le foto “autocancellanti”, esistono modi banalissimi (dallo screenshot in su) per rendere quelle immagini assolutamente permanenti.

Ben venga, quindi, l’uso di questa funzione per eliminare automaticamente le foto che scattiamo per usi temporanei, come per esempio quelle fatte per mostrare a qualcuno un prodotto o un vestito visto in un negozio, ma niente di più. La funzione è utile per non occupare spazio inutilmente sul proprio smartphone riempiendolo di foto e video che non servono, ma prima di usare questo servizio di “cancellazione” automatica, chiedetevi che cosa succederebbe se la foto “temporanea” diventasse permanente e circolasse.

WhatsApp permette a chiunque di sapere se sei online e con chi stai comunicando

2021-05-06
di Paolo Attivissimo
privacy, ReteTreRSI, stalkerware, Whatsapp

Ultimo aggiornamento: 2021/05/06 10:40.

WhatsApp lo dice chiaro e tondo nelle
FAQ:
“non è possibile nascondere o disattivare il proprio stato online o
sta scrivendo”. Inoltre tutti gli utenti di WhatsApp possono vedere le conferme di lettura
e l’ultimo accesso effettuato di chiunque.

Questo vale anche se si imposta la visibilità di
Ultimo accesso a Nessuno (in
Impostazioni – Account – Privacy).

Vale anche se si imposta lo Stato come visibile a nessun contatto, andando in
Impostazioni – Account – Privacy – Stato, perché quest’impostazione in realtà regola la visibilità dello Stato (un’immagine temporanea, simile alle Storie di Instagram o Snapchat), che è una cosa completamente diversa dallo stato online (che indica a tutti se siete online su WhatsApp) ma stupidamente ha un nome praticamente uguale.

In altre parole, queste impostazioni sono totalmente ingannevoli.

Siccome quindi non è possibile nascondere il proprio stato online, esistono siti che
consentono di verificare se un utente è online sapendone soltanto il numero di
telefonino e permettono persino di confrontare lo stato di due utenti per
dedurre se stanno comunicando tra loro.

Lo ha
segnalato
Lorenzo Franceschi-Bicchierai su Vice.com, citando l’esistenza di varie app
(che non nomina e che non mi sembra opportuno nominare qui) che si vantano
pubblicamente di poter sapere con precisione quando qualcuno si è collegato a
WhatsApp, con che probabilità due utenti hanno chattato nel corso della
giornata, quando un utente è andato a dormire, quando si è svegliato e con
quanti contatti hanno chattato. Si può anche sapere quanto tempo un utente ha
trascorso online per ciascuna sessione di chat e si possono ricevere notifiche
per essere avvisati quando quell’utente torna online.

In termini tecnici questo è cyberstalking, ed è una funzione integrata
in WhatsApp. Non è un difetto o un bug: WhatsApp è proprio progettato
così.

Ho provato uno di questi servizi su uno dei miei numeri, sul quale ho attivato
WhatsApp, ed è decisamente impressionante. Ha rilevato correttamente i miei
orari di attività in WhatsApp.

Ho poi creato una rubrica di numeri da monitorare e il servizio mi ha offerto
informazioni non solo sulle ultime 24 ore ma anche su date passate. Ha
identificato correttamente gli orari nei quali ho scambiato messaggi su
WhatsApp:

È andata un po’ meno bene con il tracciamento delle chat: il sito non ha
registrato il fatto che avevo chattato su WhatsApp con un altro dei miei numeri.
In effetti il sito parla di probabilità di chat, per cui non garantisce
nulla, ma il problema di questi errori è che l’utente che usa siti come questi
per fare cyberstalking rischia di prendere dei granchi e accusare per
esempio un partner di chattare con qualcuno quando non è vero oppure viceversa.
In ogni caso il confronto delle attività online è notevole:

Se per caso pensavate che le promesse di crittografia end-to-end di
un’azienda che dipende dai dati personali degli utenti per guadagnare
potessero essere una garanzia di riservatezza, forse vi conviene pensare di
nuovo.

—

Rispondo qui a una domanda ricorrente: e Telegram? Nelle impostazioni (tre
linee orizzontali/ingranaggio – Impostazioni) c’è la voce
Privacy e sicurezza – Ultimo accesso e in linea, che permette di
scegliere di non far vedere a nessuno il proprio stato. Su alcuni dispositivi
bisogna confermare la scelta toccando il segno di spunta e poi OK.
Questo farà vedere a tutti solo un orario approssimativo di ultimo accesso
(una cosa del tipo “di recente, entro una settimana, entro un mese”,
dicono le info interne dell’app Telegram).

Furti di account WhatsApp: occhio alle richieste di mandare codici

2021-02-05
di Paolo Attivissimo
2FA, autenticazione a due fattori, furto di account, ReteTreRSI, Whatsapp

Anche la Polizia di Stato italiana si associa all’allarme per i furti di account WhatsApp: in un comunicato, segnala e spiega la tecnica utilizzata dai ladri.

La vittima riceve un messaggio sul proprio telefonino con una richiesta apparentemente innocente: “Scusa, ti ho inviato per sbaglio un codice, me lo puoi rimandare?” o qualcosa di analogo. La vittima ha in effetti ricevuto pochi istanti prima via SMS un codice di sei cifre e quindi pensa di fare un favore al proprio interlocutore rimandandoglielo.

Ma è una trappola: il codice, infatti, è quello che WhatsApp manda all’utente quando si vuole trasferire il proprio account a un altro telefono o a un altro numero. Chi ha quel codice può prendere il controllo dell’account.

La trappola è particolarmente credibile perché spesso la richiesta di mandare il codice sembra arrivare da una persona che si conosce e di cui quindi ci si fida: in realtà, spiega la Polizia di Stato, solitamente il conoscente è “un’altra vittima
della frode che ha già subito il furto dei dati, in particolare della
rubrica, nella quale c’era anche il vostro numero di telefono”.

La difesa è semplice: se ricevete una richiesta di questo genere, per prima cosa ignoratela e non mandate nessun codice a nessuno. Se conoscete il mittente, contattatelo usando un altro canale (una telefonata o un incontro di persona) e avvisatela del problema. E se potete, segnalate il caso alle autorità. Per maggiore sicurezza, attivate l’autenticazione a due fattori (o verifica in due passaggi) su WhatsApp, spiegata qui.

Se il furto di account è già avvenuto, potete consultare le apposite FAQ di WhatsApp per tentare il recupero dell’account.

Se vi state chiedendo perché qualcuno dovrebbe volervi rubare l’account WhatsApp, la risposta è complessa: a volte si tratta di un ficcanaso che conoscete e che vuole farsi i fatti vostri o farvi un dispetto o una molestia (un ex partner, un bullo), ma più spesso si tratta di criminali informatici che usano gli account WhatsApp rubati per compiere estorsioni semplici (“pagami se vuoi riavere il tuo account”) o più articolate (“ho le tue foto intime o quelle del tuo partner, pagami o le mando in giro”), oppure per fare spamming.

Fonte aggiuntiva: Cybersecurity360.it.

WhatsApp condividerà con Facebook i dati personali degli utenti: prendere o lasciare. Ma solo fuori Europa

Ultimo aggiornamento: 2021/01/13 9:20.

Si sta diffondendo la notizia che WhatsApp ha aggiornato i propri termini di
servizio e da febbraio 2021 obbligherà i suoi utenti a condividere
informazioni personali con Facebook e
le altre società del gruppo Facebook. Molti temono che questo significhi che non ci sarà più privacy in WhatsApp.
Non è proprio così.
Per gli utenti europei non cambia praticamente nulla: restano i problemi di
privacy che c’erano già prima.

Infatti
dalla novità sono esclusi gli utenti della cosiddetta
regione europea, che include la Svizzera e che è servita da WhatsApp Ireland Limited (la cui
informativa sulla privacy in italiano è
qui). Questa maggiore protezione europea è frutto del GDPR, come fa notare
Cybersecurity360.it, dove trovate anche altri dettagli sui cambiamenti di WhatsApp.

Il resto del mondo segue regole differenti, descritte
qui: dall’8 febbraio prossimo gli utenti dovranno accettarle per poter
continuare a usare WhatsApp.

Tutti gli utenti verranno allertati dell’aggiornamento dei termini di servizio
da un apposito avviso dell’app, mostrato qui accanto. L’avviso per la regione
europea sarà diverso ed è mostrato
qui sotto. Tutti dovranno accettarlo per poter continuare a usare WhatsApp.

È un bel dietrofront rispetto alle promesse fatte nel 2014, quando WhatsApp fu
comprato da Facebook: il CEO di allora, Jan Koum, aveva
scritto
che ci teneva davvero tanto alla privacy. Ma nel 2018 Koum se n’è andato
altrove.

I dati che verranno condivisi con Facebook saranno i nomi, le foto di profilo,
gli aggiornamenti di stato, i numeri di telefono, gli elenchi dei contatti,
gli indirizzi IP, le informazioni tecniche sul proprio dispositivo come marca
e modello, versione di sistema operativo e operatore telefonico; se
interagiscono con aziende tramite WhatsApp, Facebook riceverà gli indirizzi
postali di spedizione e gli importi spesi in acquisti.

La notizia ha generato un certo clamore mediatico, e WhatsApp si è affrettata
a chiarire che appunto i cambiamenti riguardano “soltanto” gli utenti non
europei e che comunque non condividerà con Facebook neppure i dati personali
degli utenti non europei che hanno in passato scelto l’opzione di non
condividere i propri dati con il social network.

Va ricordato che WhatsApp ha già ora dei problemi di privacy: se lo
usate, prende tutti i numeri di telefono della vostra rubrica, anche quelli
degli amici che vi hanno confidato il loro numero chiedendo di tenerlo
riservato, e li passa a Facebook. Il contenuto delle conversazioni fatte con
WhatsApp è protetto dalla crittografia, ma tutti i dati di contorno (metadati)
no: WhatsApp (e quindi Facebook) sa con chi parlate, quando parlate, quanto
parlate, se mandate foto o video o messaggi vocali, chi sono i vostri amici,
eccetera eccetera. Già questi dati sono sufficienti per profilarvi a scopo
pubblicitario.

Se volete sottrarvi allo sfruttamento commerciale dei vostri dati da parte di
Facebook, cambiate app in favore di
alternative
come Signal o Telegram o Threema.

In sintesi: grande confusione per i due miliardi di utenti di WhatsApp. Che
succede per esempio ai dati di una comunicazione fra un utente europeo e uno
non europeo? Non è chiaro. Forse, appunto, si fa prima a cambiare app in
favore di qualcos’altro di maggiormente rispettoso della privacy o perlomeno
sganciato dalla galassia succhiadati di Facebook.

Fonti:
The Register,
Punto Informatico,
Ars Technica.

Alternative a WhatsApp

2021-01-13
di Paolo Attivissimo
crittografia, ReteTreRSI, Signal, Telegram, Threema, Whatsapp, Wickr

Wickr in Mr. Robot.

Ultimo aggiornamento: 2021/01/13 18:15.

Se siete tentati di lasciare WhatsApp, o almeno affiancargli un’alternativa, a
causa dei recenti e confusionari cambiamenti delle sue regole di privacy, ci
sono varie opzioni.

La prima è Telegram: l’app è gratuita,
anche se sarà presto
sostenuta
dalla
pubblicità
nei canali pubblici e nei servizi business e premium (ma le funzioni di base
resteranno gratuite e senza pubblicità,
dice il fondatore, Pavel Durov). Telegram
consente non solo di scambiare messaggi ma anche di fare videochiamate, ed
esiste anche una versione Web che consente di usare Telegram sul computer (c’è
anche un client per Windows, Mac e
Linux). La cifratura (end-to-end) si ha però solo quando si
usano le cosiddette chat segrete: le chat normali e le chat di gruppo non sono cifrate, e i messaggi non cifrati vengono custoditi sui server di Telegram. È insomma una buona soluzione per chi non vuole farsi tracciare pubblicitariamente dall’impero di Facebook/WhatsApp/Instagram, ma non è l’ideale per chi vuole proteggere le proprie conversazioni.

La seconda è Signal, che offre la stessa
crittografia di WhatsApp, anche sulle chiamate audio e video, ed è disponibile
anche in versione desktop. Soprattutto ha una
normativa di privacy e delle
condizioni di servizio ben più
semplici di quelle chilometriche di WhatsApp, che ammontano a oltre 8000
parole in legalese stretto.

Segnalo anche Threema, che non richiede di
associarvi un numero di telefono, è open source e offre crittografia
end-to-end e una versione web. In
più è un’app svizzera, conforme al GDPR, che non raccoglie dati personali
perché si mantiene con un piccolo costo iniziale e con i servizi alla
clientela business.

Infine cito Wickr, crittografatissimo e
gratuito in versione personale ma a pagamento in versione business. Molti lo
conosceranno per le sue
apparizioni
nella serie TV hacking-centrica Mr. Robot.

La scelta non manca, insomma: il vero problema è convincere gli altri a usare
la stessa app che usiamo noi. In questo senso WhatsApp è assolutamente
dominante, ma nulla vieta di usare più di una app di messaggistica.

WhatsApp sotto attacco, occhio alle richieste di codici

Mikko Hypponen di F-Secure segnala che è in corso un attacco diffuso contro gli utenti WhatsApp. Se ricevete un messaggio inatteso da WhatsApp contenente un codice e un link, non condividete quel codice con nessuno e non cliccate sul link.

We’re seeing a Whatsapp attack underway. If you get an unexpected text message from Whatsapp, do not share the code you got with anyone. Do not click the link. pic.twitter.com/wT9vsqCZx9

— @mikko (@mikko) November 26, 2020

L’esperto informatico spiega la tecnica usata dagli aggressori per rubare gli account: per prima cosa i criminali prendono il controllo di un account WhatsApp. Poi passano in rassegna tutti i contatti di quell’account e avviano la procedura per convertire gli account di quei contatti in account WhatsApp Business.

Questo fa partire da WhatsApp un messaggio di testo (SMS) che arriva sul telefonino del contatto e contiene un codice.

L’aggressore usa poi l’account WhatsApp rubato inizialmente per mandare un messaggio WhatsApp al contatto che sarà la sua prossima vittima. In questo modo, la vittima riceve il messaggio da una persona che conosce, e quindi si fida. L’aggressore dice alla vittima di averle mandato per errore un codice di sei cifre e chiede per favore di rimandarglielo.

Se la vittima cade nella trappola e manda il codice in risposta, anche il suo account viene rubato dall’aggressore, e il processo ricomincia.

Ripeto: non date a nessuno, neppure a persone che conoscete, i codici che vi arrivano da WhatsApp.