Kaspersky ha scoperto una nuova campagna di phishing che prende di mira gli utenti di WhatsApp attraverso un finto sistema di votazioni online. Questo attacco inganna le vittime conducendole su una pagina web apparentemente legittima, che simula un concorso a votazioni. Spesso i protagonisti sono giovani atleti, ma possono essere utilizzati anche altri soggetti per adattare l’inganno a diversi contesti. L’obiettivo finale degli aggressori è il furto degli account WhatsApp.
La truffa inizia quando gli utenti vengono indirizzati a una pagina web apparentemente legittima che dichiara di ospitare un concorso a votazione. Ad esempio, la pagina può contenere foto di atleti, ciascuna accompagnata da un pulsante “Vota” e contatori in tempo reale che mostrano i presunti totali dei voti e il numero di utenti che hanno partecipato. Questi elementi creano un falso senso di autenticità, incoraggiando il coinvolgimento degli utenti. La pagina contiene anche un messaggio che afferma che chiunque può partecipare al concorso, purché riceva una presunta “autorizzazione”. Inoltre, si promettono premi offerti da “sponsor”.
Cliccando sulle opzioni “Vota” o “Autorizza”, gli utenti vengono reindirizzati a una pagina web fraudolenta che li invita ad autorizzare l'accesso “in modo semplice e veloce” tramite WhatsApp gli viene richiesto di inserire il proprio numero di cellulare associato. In questo modo, i cybercriminali sfruttano la funzione di WhatsApp che consente loro di connettersi tramite un codice monouso all'interfaccia web del servizio di messaggistica: inseriscono il numero di telefono della vittima per accedere a WhatsApp Web, e il sistema genera un codice a 6 cifre, che viene poi riproposto dal sito web fraudolento. Quando l'utente inserisce questo codice nell'app sul proprio smartphone, la sessione web avviata dai cybercriminali si attiva, consentendo loro di monitorare la vittima, scrivere messaggi e infine appropriarsi dell'account.
“Abbiamo scoperto che i concorsi online contenenti votazioni sono molto popolari e vengono sempre più sfruttati dagli hacker, che approfittano della fiducia riposta in queste attività all'apparenza innocue. Combinando tecniche di social engineering e interfacce false ma convincenti, gli hacker stanno trasformando il coinvolgimento degli utenti in uno strumento per rubare dati sensibili. La consapevolezza e la vigilanza sono fondamentali per rimanere al sicuro”, ha commentato Tatyana Shcherbakova, Web Content Analyst di Kaspersky.
Per proteggersi da questo tipo di truffe, Kaspersky consiglia di:
· Attivare su WhatsApp la verifica a due passaggi integrata e la funzione di richiesta PIN per accedere all'account
· Verificare l'autenticità dei siti web, evitando di inserire informazioni personali nei siti poco conosciuti, soprattutto quelli raggiunti tramite link non richiesti e controllare sempre l'URL per verificarne la legittimità.
· Non condividere mai i codici di verifica poiché WhatsApp non li richiede. Il codice è importante non condividerlo né accettarlo da nessuno, anche se richiesto da una fonte apparentemente affidabile.
· Utilizzare un software di sicurezza affidabili e consolidati per individuare e bloccare siti web e link dannosi.
