“Ciao! Per favore vota per Federica, è la figlia di una mia amica”.
Un messaggio semplice, apparentemente innocuo. Eppure, dietro questa richiesta si nasconde una delle truffe WhatsApp più diffuse degli ultimi mesi.

La cosiddetta truffa WhatsApp Federica sfrutta un meccanismo di ingegneria sociale molto efficace. Fa leva sull’empatia, sulla fiducia e sulla voglia di aiutare qualcuno vicino a noi. Tuttavia, non esiste alcuna borsa di studio. Non esiste alcun sondaggio. E soprattutto, non esiste nessuna Federica da votare.

Esiste solo un metodo studiato per rubare l’account WhatsApp e usarlo come strumento per colpire altre persone.

Come funziona la truffa del finto sondaggio

Il funzionamento della truffa è tanto semplice quanto pericoloso. Tutto parte da un messaggio ricevuto su WhatsApp, spesso inviato da un contatto conosciuto. Questo è il primo elemento che abbassa le difese.

Il messaggio contiene un link. Chi lo apre viene reindirizzato a una pagina che simula un sondaggio o una votazione. A quel punto viene richiesto di inserire il numero di telefono.

Subito dopo arriva un SMS con un codice OTP, cioè un codice temporaneo di verifica. La pagina chiede di copiarlo e incollarlo nella chat WhatsApp, rimandandolo al mittente.

Ed è qui che avviene il furto.

Quel codice non serve per votare. Serve per attivare WhatsApp su un altro dispositivo. Inserendolo, l’utente consegna di fatto il proprio account ai criminali.

Nel giro di pochi secondi, l’accesso viene perso. L’account passa sotto il controllo dei truffatori. E il ciclo ricomincia.

Perché è così facile cadere nella trappola

Questa truffa funziona perché non sfrutta vulnerabilità tecniche, ma comportamenti umani. La richiesta arriva da un contatto fidato. Il messaggio è breve. Il tono è gentile. Il tempo richiesto è minimo.

Inoltre, l’azione sembra positiva. Aiutare qualcuno. Fare un favore. Votare per una borsa di studio. Tutto appare normale.

Una volta rubato l’account, i criminali inoltrano lo stesso messaggio a decine di contatti, aumentando esponenzialmente il numero delle vittime. Nel frattempo, raccolgono numeri di telefono, dati personali e nuovi accessi.

A lanciare l’allarme è stata anche la Polizia di Stato, attraverso le sue strutture dedicate alla sicurezza cibernetica. Il messaggio è chiaro: diffidare sempre, anche quando il mittente sembra affidabile.

Le regole fondamentali per proteggere il proprio account

Le Forze dell’Ordine ribadiscono alcune regole di base che possono evitare danni seri.

Prima di tutto, i codici OTP ricevuti via SMS sono personali. Non vanno mai condivisi. Mai. Nemmeno con amici, parenti o colleghi.

Inoltre, i link ricevuti via chat vanno sempre verificati. Anche un solo clic può portare a una pagina di phishing studiata nei minimi dettagli.

In caso di messaggi sospetti, è sempre meglio chiamare direttamente il mittente. Una semplice telefonata può evitare la perdita dell’account.

Se l’account viene compromesso, è fondamentale avvisare subito i contatti, anche tramite social, e sporgere denuncia.

La verifica in due passaggi è la vera difesa

Un ultimo consiglio, forse il più importante. Attivare la verifica in due passaggi su WhatsApp.

Questa funzione aggiunge un PIN personale, richiesto ogni volta che si tenta di registrare l’account su un nuovo dispositivo. Anche se il truffatore ottiene il codice SMS, senza il PIN non può completare l’accesso.

Attivarla è semplice. Basta entrare nelle impostazioni di WhatsApp, andare su Account e poi su Verifica in due passaggi.

In un contesto in cui le truffe digitali diventano sempre più sofisticate, la prudenza resta l’arma migliore. Aiutare gli altri è un gesto nobile. Tuttavia, proteggere se stessi è il primo passo per non aiutare i criminali.