Una nuova truffa è stata lanciata da hacker ignoti verso gli utenti di WhatsApp. Nuova in tutti i sensi perché è più comunicativa e persuasiva e meno tecnica. Gli hacker stanno sfruttando dei codici per farsi passare il controllo del profilo dell’app di chat dalle vittime, senza che queste se ne accorgano, ha detto il CEO DI CloudSEk- Rahul Sasi.
Il sistema sfrutta i codici comuni che chiunque può abilitare sul telefono per l’inoltro delle chiamate e degli sms, in caso di linea occupata. Invitando le persone a digitare 67 e 405 seguitI da un numero a 10 cifre, si attiva l’arrivo delle telefonate ed sms sul numero indicato dopo i codici, bypassando quello in possesso. A quel punto, l’hacker esegue un nuovo processo di registrazione dell’account WhatsApp con il numero della vittima. Il codice di conferma arriverà sulla sim inserita dopo i codici, così da finalizzare l’operazione di furto del profilo. L’hacker può completare la procedura, scollegare l’account della vittima e iniziare a usarlo in proprio. Stando al ricercatore, l’obiettivo dei criminali è chiedere denaro ai contatti del malcapitato, facendo finta di essere davvero un amico o un parente.
I passaggi della truffa
Ricapitolando, il truffatore chiama la vittima e la convince a comporre uno dei due numeri riportati di seguito: **67* seguito da un numero a 10 cifre e *405* seguito da un numero a 10 cifre. Quando la vittima compone il numero, viene disconnessa dal suo account e il malintenzionato ha il controllo completo dell’utenza Whatsapp. Con questi codici, che vengono seguiti da dei numeri di telefono attivi, viene attivata infatti una funzione comune su tutti i telefoni, vale a dire quella di girare in automatico le telefonate ed sms sul numero indicato dopo i codici, bypassando quello in possesso. Questa operazione di rinvio di chiamata rimane attiva solo quando il numero principale, a cui si è registrati con WhatsApp, è attivo in una telefonata. Per questo l’autore della frode deve tenere impegnato in una chiamata il malcapitato.
A quel punto il criminale informatico inizia a chiedere “un riscatto” per restituire l’account rubato al proprietario dell’account o ai contatti stretti del mal capitato.