Il Ghost Pairing è una delle truffe più insidiose che stanno circolando su WhatsApp: sfrutta chiamate spam, messaggi ingannevoli e la funzione dei dispositivi collegati per consentire ai criminali di entrare nell’account della vittima e usarlo a distanza
Prima le chiamate, poi il colpo
Lo schema che emerge dalle segnalazioni più recenti segue una sequenza precisa. Il bersaglio riceve una raffica di chiamate spam da numeri sconosciuti. Non servono a parlare: servono a creare stress, urgenza, frustrazione - ad abbassare la soglia di attenzione. Subito dopo arriva un messaggio WhatsApp da un contatto in rubrica, qualcuno di cui ci si fida, il cui account però è già stato compromesso.
Il testo invita a cliccare su un link per partecipare a un concorso, visualizzare un contenuto urgente, completare una verifica.
Dopo il clic, la vittima viene indotta a inserire un codice numerico o a scansionare un QR code per “autenticarsi”. Quel gesto non autentica nulla: collega il dispositivo del truffatore all’account WhatsApp del bersaglio.
La truffa WhatsApp che non sembra una truffa
Ed è questo il meccanismo che rende il Ghost Pairing più insidioso delle frodi digitali tradizionali. Non c’è un software malevolo da installare. Non c’è una password rubata con un attacco brutale.
Il truffatore non forza nulla dall’esterno: convince la vittima a compiere da sola il passaggio decisivo, sfruttando una funzione legittima dell’applicazione - quella dei dispositivi collegati. Il messaggio arriva da una persona conosciuta. La richiesta appare plausibile. La procedura sembra normale. È proprio questa apparente normalità a rendere il raggiro efficace.
Cosa succede quando il dispositivo fantasma è agganciato
Una volta completato il collegamento, il criminale ha accesso pieno all’account: può leggere le conversazioni in tempo reale, scaricare foto e documenti, acquisire informazioni personali e - soprattutto - inviare messaggi a nome della vittima.
Il profilo compromesso diventa lo strumento per colpire altri contatti e allargare la catena della frode. Non è un furto di dati isolato: è un accesso stabile all’identità digitale della persona, utilizzabile finché la sessione fantasma non viene individuata e disconnessa.
Come proteggersi dal Ghost Pairing su WhatsApp
La difesa si costruisce su quattro azioni concrete.
1. Attivare la verifica in due passaggi. La funzione aggiunge un Pin personale a sei cifre all’account WhatsApp. È il primo argine: anche se il truffatore riesce a ottenere un codice di verifica, senza quel Pin non completa il collegamento.
2. Controllare regolarmente i dispositivi collegati. La sezione si trova nelle impostazioni di WhatsApp. Se compare una sessione che non si riconosce - un browser, un dispositivo, un accesso con data e ora anomali - va disconnessa immediatamente.
3. Non inserire mai codici su link esterni. Anche se il messaggio arriva da un familiare, da un collega, da un amico stretto: nessun servizio legittimo chiede di inserire codici di verifica WhatsApp su siti esterni. Ogni richiesta di questo tipo è un segnale d’allarme.
4. Filtrare e bloccare le chiamate spam. Silenziare i numeri sconosciuti riduce l’esposizione alle campagne automatiche che precedono l’attacco e impedisce ai bot di verificare che il numero sia attivo. Meno chiamate passano, più difficile diventa per il truffatore preparare il terreno.
Perché il Ghost Pairing segna un cambio di scala nelle truffe digitali
L’obiettivo non è più carpire un dato, una password, un numero di carta. È ottenere un accesso permanente all’identità digitale della vittima e usarla come piattaforma per colpire a catena.
Le chiamate spam aprono la strada, il messaggio da un contatto fidato abbatte le difese, il link chiude la trappola.
Tre passaggi, nessun segnale d’allarme evidente. L’unica difesa che tiene è quella preventiva: non agire d’impulso, trattare ogni richiesta anomala come un possibile attacco e controllare sempre - sempre - la lista dei dispositivi collegati al proprio account.
Fonte: Ilsole24ore.it
