Una sofisticata operazione di cybercriminalità sta mettendo a rischio migliaia di utenti italiani di WhatsApp. Dal 25 febbraio circolano messaggi ingannevoli che arrivano da contatti noti, creando una falsa sensazione di sicurezza. Il messaggio sfrutta un pretesto classico: chiede di votare per un parente in uno spettacolo o concorso, utilizzando il nome della vittima per personalizzare l'appello. Il link che segue conduce a una trappola ben congegnata, capace di aggirare anche le misure di protezione più evolute.
La pagina dove cliccare è curata nei dettagli: mostra bambini in costume per uno spettacolo teatrale, ognuno con il proprio contatore di voti. Quando l'utente seleziona un candidato, appare un avviso che invoca un pretesto anti-frode: "Per combattere la falsificazione dei voti è necessario superare la verifica tramite codice." Questo stratagemma psicologico è intenzionale e colpisce anche chi normalmente mantiene alta la guardia. A questo punto, il sistema propone due vie: inserire il numero di telefono con prefisso italiano preselezionato, oppure scansionare un codice QR.
Quello che rende questa truffa particolarmente pericolosa è la semplicità della sua esecuzione. I cybercriminali non tentano di rubare la password né intercettare messaggi SMS. Piuttosto, sfruttano una funzionalità legittima di WhatsApp, identica a quella utilizzata per collegare l'app su computer o tablet: il meccanismo dei dispositivi secondari. Nel primo scenario, il backend contatta i server di WhatsApp e genera un codice di collegamento a otto caratteri, da inserire nelle impostazioni dell'app. Nel secondo, la scansione del QR autorizza immediatamente l'accesso da un dispositivo controllato dall'attaccante. In entrambi i casi, l'hacker ottiene pieno controllo dell'account senza mai conoscere la password.
Ciò che sorprende esperti di sicurezza è l'inefficacia dell'autenticazione a due fattori contro questo attacco. La 2FA, comunemente consigliata come protezione massima, non fornisce alcuna difesa in questo scenario poiché gli hacker non tentano l'accesso tradizionale. L'infrastruttura dietro questa campagna presenta forti analogie con un'operazione documentata nel febbraio 2025 che aveva colpito utenti rumeni e turchi, con chiari indicatori di origine russa. Il dominio teatrale.online è stato registrato proprio sei giorni prima che i primi rapporti iniziassero a circolare online, suggerendo una pianificazione precisa e coordinata.
Le vittime di questa truffa si ritrovano con account compromessi utilizzabili dagli aggressori per rubare dati sensibili, contatti, conversazioni private e potenzialmente accedere a servizi collegati. Gli esperti di cybersecurity consigliano di verificare con attenzione i richieste che arrivano via WhatsApp, di non cliccare su link sospetti anche se provengono da contatti fidati, e di controllare regolarmente le impostazioni dei dispositivi collegati per individuare sessioni non autorizzate. WhatsApp consiglia di disconnettere immediatamente qualsiasi dispositivo sconosciuto dalla sezione dedicata nelle impostazioni dell'applicazione.
