Una nuova truffa sfrutta la funzione “Dispositivi collegati” di WhatsApp per spiare chat e dati personali senza violare la crittografia. Il GhostPairing si basa sull’ingegneria sociale e colpisce milioni di utenti
Una nuova minaccia digitale colpisce uno degli strumenti di comunicazione più usati dai consumatori: WhatsApp. L’allarme arriva dal Centro tutela consumatori utenti (Ctcu), che sul proprio sito ha segnalato una tecnica di truffa particolarmente subdola, ribattezzata GhostPairing. Non si tratta di un attacco informatico tradizionale, né di una violazione della crittografia end-to-end su cui Meta basa la sicurezza della piattaforma. Proprio per questo il raggiro è difficile da individuare e potenzialmente molto pericoloso.
Secondo le analisi dei ricercatori di Gen Digital – gruppo che comprende marchi storici della sicurezza informatica come Norton e Avast – il GhostPairing sfrutta una funzione del tutto legittima di WhatsApp: quella dei Dispositivi collegati, che consente di usare lo stesso account su più apparecchi, ad esempio su computer o tablet, senza che lo smartphone debba restare connesso.
Come funziona il GhostPairing
Il meccanismo non prevede l’hackeraggio dell’account, ma una vera e propria manipolazione dell’utente. Si induce la vittima ad autorizzare volontariamente l’associazione di un dispositivo controllato dal truffatore, che diventa così un “fantasma”: invisibile, ma pienamente operativo.
La truffa inizia quasi sempre con un messaggio che sembra affidabile perché proviene da un contatto già presente in rubrica. In molti casi si tratta di account già compromessi in precedenza, utilizzati come esca. Il testo è semplice e studiato per stimolare la curiosità o l’urgenza: “Sei tu in questa foto?”, “Ho trovato un tuo video”, “Guarda cosa stanno dicendo di te”.
Il link rimanda a un sito esterno che imita graficamente piattaforme note come Facebook o Instagram. Qui viene richiesta una presunta “verifica di sicurezza” o “conferma dell’identità”. In realtà, la procedura serve ad avviare il collegamento di un nuovo dispositivo WhatsApp. Alla vittima viene chiesto di inserire un codice numerico, che non è altro che il codice di associazione generato dal criminale per collegare il proprio dispositivo all’account della vittima.
Una volta completato il pairing, l’attaccante ottiene accesso completo alle conversazioni: può leggere messaggi, ascoltare note vocali, scaricare foto e video e, in alcuni casi, inviare messaggi a nome della vittima. Il tutto senza bisogno di intercettare il traffico o “bucare” la crittografia, che resta tecnicamente intatta.
perché è una minaccia difficile da individuare
Come sottolineano anche analisti di società come ESET e Kaspersky, il punto di forza del GhostPairing è proprio l’uso improprio di una funzione legittima. Non vengono installati malware sul telefono, non ci sono app sospette né accessi anomali evidenti. L’unico indizio è la presenza di un dispositivo sconosciuto nella sezione Dispositivi collegati di WhatsApp, che molti utenti non controllano mai.
Inoltre, l’attacco può rimanere attivo per settimane o mesi, consentendo ai truffatori di raccogliere informazioni personali, conversazioni sensibili, dati bancari o di lavoro. Gli account compromessi vengono spesso utilizzati per colpire a catena altri contatti, rendendo la truffa particolarmente efficace e difficile da arginare.
Verifica in due passaggi
Gli esperti di sicurezza concordano su un punto: la verifica in due passaggi non impedisce il GhostPairing, ma può limitarne gli effetti. L’attivazione di un PIN aggiuntivo rende più complesso per l’attaccante modificare impostazioni critiche dell’account o trasferirlo su un nuovo telefono, riducendo i danni in caso di compromissione.
Resta però centrale il comportamento dell’utente. WhatsApp, come ricordato anche da Meta nelle sue comunicazioni sulla sicurezza, non chiede mai di inserire codici di accesso su siti esterni né di collegare dispositivi per visualizzare contenuti ricevuti tramite messaggio.
