C’è una notifica su WhatsApp che non andrebbe mai ignorata: quella che avvisa dell’accesso di un secondo dispositivo al proprio account. Arriva sullo smartphone, in pochi caratteri, e nella maggior parte dei casi si riferisce a qualcosa di innocuo: WhatsApp Web aperto sul PC di casa, il tablet collegato qualche settimana fa. Ma quando quell’avviso compare senza che si sia fatto nulla, il quadro cambia. Qualcuno potrebbe aver collegato il proprio profilo a un dispositivo sconosciuto, con accesso completo a messaggi, conversazioni e contatti.
Meta sta sviluppando una versione potenziata di questo sistema, emersa dall’analisi dell’ultima versione beta per Android da parte di WABetaInfo: una funzione che invierà automaticamente una notifica sul telefono principale ogni volta che risulteranno due o più dispositivi attivi contemporaneamente. Al momento è ancora in fase di sviluppo, non disponibile nemmeno ai tester del programma beta ufficiale, e riguarda solo Android. Ma la direzione è quella, e dice qualcosa di preciso sulla frequenza con cui questi accessi sfuggono all’attenzione degli utenti.
La notifica che non va mai ignorata
Oggi, per verificare quali dispositivi siano connessi al proprio account, è necessario entrare manualmente nelle impostazioni. Su Android si tocca il simbolo con i tre puntini in alto a destra e si seleziona Dispositivi collegati. Su iPhone si va in Impostazioni, in basso a destra, e poi alla stessa voce. La lista che appare mostra tutti i dispositivi secondari attivi, con indicazione dell’ultima attività e, in molti casi, della posizione approssimativa.
Se nella lista compare un dispositivo che non si riconosce, il passo successivo è immediato: toccare il nome del dispositivo sconosciuto e premere Disconnetti. Questo chiude la sessione in tempo reale, tagliando l’accesso a chiunque stesse usando quell’apertura. Gli esperti di sicurezza consigliano di controllare questa lista periodicamente anche in assenza di sospetti, per lo stesso motivo per cui si cambia la password di tanto in tanto: le sessioni dimenticate su PC condivisi o aziendali possono restare attive per mesi.
Come scoprire se qualcuno è entrato nel tuo account – © Pexels
Come vengono rubati gli account: il meccanismo reale
Il metodo più diffuso non richiede vulnerabilità software né malware. Sfrutta la funzione legittima dei Dispositivi collegati attraverso l’ingegneria sociale. Funziona così: il truffatore avvia una sessione “Dispositivi collegati” sul proprio dispositivo e genera un codice alfanumerico. La vittima, ingannata con un pretesto (un link da votare per un concorso, una richiesta d’aiuto urgente che arriva da un contatto conosciuto, un problema finto con la banca), viene convinta a confermare quel codice sul proprio smartphone. A quel punto la sessione viene autenticata: il dispositivo del truffatore riceve una copia sincronizzata di tutte le conversazioni, messaggi, contatti e metadati. La notifica che appare in quel momento sullo smartphone della vittima recita: “Inserisci il codice per collegare il nuovo dispositivo“. L’avviso di WhatsApp è esplicito: “Non inserire codici che non hai richiesto.” Ma molti lo confermano comunque.
L’altro metodo classico è quello del codice di verifica a sei cifre: quando qualcuno prova a registrare un account WhatsApp usando il numero di un’altra persona, quel codice arriva via SMS al legittimo proprietario. Se viene condiviso, l’account è compromesso.
I segnali che qualcosa non va
Ci sono campanelli d’allarme precisi. Messaggi inviati che non si ricordano di aver scritto sono tra i più evidenti: un account violato viene spesso usato per inviare spam o truffe ai contatti, sfruttando la fiducia che queste persone ripongono nel mittente. Altrettanto sospetti sono la ricezione di codici OTP non richiesti, le notifiche di modifica password che non si è effettuata, e la disconnessione improvvisa dall’app. Quest’ultima, in particolare, può significare che qualcuno ha registrato il numero su un nuovo dispositivo, scalzando il precedente.
Come proteggersi, in concreto
La misura più efficace è la verifica in due passaggi, che si attiva in Impostazioni > Account > Verifica in due passaggi. Una volta impostato un PIN a sei cifre, chiunque tenti di registrare il proprio numero su un altro dispositivo dovrà inserirlo. Senza quel PIN, l’accesso è bloccato anche se il codice SMS viene intercettato. È una difesa che costa trenta secondi di configurazione. Nelle impostazioni di sicurezza si trovano anche le Notifiche di sicurezza: attivarle significa ricevere un avviso ogni volta che il codice di crittografia di una conversazione cambia, segnale che l’interlocutore potrebbe aver reinstallato WhatsApp o acceduto da un nuovo dispositivo.
Regola finale, la più semplice: non condividere mai codici di verifica, né quelli arrivati via SMS né quelli mostrati dall’app, qualunque sia il pretesto con cui vengono richiesti.
