Negli ultimi mesi si sta diffondendo in Italia una campagna di phishing che sfrutta un meccanismo tanto semplice quanto efficace: la fiducia tra contatti WhatsApp. Il messaggio è apparentemente innocuo e chiede di votare per la figlia o la nipote di un amico impegnata in un concorso di danza. In realtà, l’obiettivo non è raccogliere voti, ma ottenere accesso completo all’account della vittima.

Il fenomeno è stato segnalato dalla Polizia di Stato e dal Commissariato di PS Online, con una diffusione nazionale documentata anche da diverse testate giornalistiche. Non si tratta di un episodio isolato, ma di una campagna strutturata che sfrutta dinamiche di propagazione virale basate sulla rete di relazioni personali.

Come funziona la truffa

La sequenza dell’attacco è studiata per non generare sospetti e per non interrompere bruscamente l’esperienza dell’utente.

Tutto inizia con un messaggio WhatsApp proveniente da un contatto conosciuto. Il testo è colloquiale e rassicurante: viene chiesto di votare la figlia di un’amica per un concorso di danza, spesso con la promessa di una borsa di studio. Il fatto che il messaggio arrivi da una persona reale è l’elemento decisivo: quell’account, tuttavia, è già stato compromesso in precedenza.

Cliccando sul link si accede a un portale di votazione graficamente curato, con immagini rassicuranti e una struttura che simula un concorso autentico.

Per confermare il voto viene richiesto di inserire il proprio numero di telefono. Questo passaggio è centrale: il numero non serve per validare un voto, ma per avviare una procedura di collegamento dell’account WhatsApp su un dispositivo controllato dai criminali.

Successivamente viene richiesto di inserire il codice OTP mostrato dal sito web fraudolento. Qui si consuma l’attacco. Quel codice non è una conferma di voto, ma il codice necessario per autorizzare un nuovo dispositivo collegato nelle impostazioni di WhatsApp, la funzione nota come “Linked Device”.

A differenza di altre forme di compromissione, l’obiettivo non è migrare l’account su un nuovo smartphone, operazione che comporterebbe la perdita immediata dell’accesso per la vittima e la possibile cancellazione dello storico chat. I criminali scelgono invece una modalità più silenziosa: abilitano un dispositivo connesso, mantenendo attivo l’account sul telefono originale.

In questo modo l’utente non percepisce immediatamente la compromissione, mentre gli attaccanti ottengono accesso continuativo ai messaggi, ai gruppi, ai canali e alla cronologia delle conversazioni. Possono leggere contenuti passati, intercettare nuovi messaggi in tempo reale, scaricare foto, video e file audio, raccogliere informazioni personali e professionali.

Si tratta di una forma di accesso persistente e discreta, più pericolosa della semplice migrazione dell’account perché consente una sorveglianza prolungata.

Perché questa tecnica è così efficace

Dal punto di vista della threat intelligence, questa campagna rappresenta un esempio chiaro di abuso di una funzionalità legittima. Non viene sfruttata alcuna vulnerabilità tecnica di WhatsApp. Il meccanismo di autenticazione è corretto e sicuro, ma viene aggirato tramite manipolazione dell’utente.

La superficie di attacco non è il software, bensì la relazione di fiducia tra persone. Ogni account compromesso diventa a sua volta uno strumento di propagazione, generando una catena di contagio digitale. La campagna è facilmente replicabile, richiede competenze tecniche limitate e garantisce un ritorno elevato in termini di dati raccolti e potenziale monetizzazione.

Cosa rischia la vittima

Una volta abilitato il dispositivo connesso, i criminali possono utilizzare l’account per inviare ulteriori messaggi di phishing ai contatti, amplificando la diffusione della campagna. Possono inoltre simulare emergenze per richiedere denaro, sfruttando la credibilità dell’identità violata.

Il rischio non è soltanto economico. L’accesso alle conversazioni consente di acquisire informazioni sensibili, immagini private, documenti condivisi nei gruppi, dettagli su relazioni personali o professionali. In ambito aziendale, la presenza di conversazioni lavorative su WhatsApp può esporre dati interni, nominativi di clienti o fornitori, informazioni strategiche.

La compromissione diventa quindi un problema di identità digitale e di riservatezza, con possibili conseguenze reputazionali.

Prevenzione e consapevolezza

La difesa contro questo tipo di attacco passa prima di tutto dalla consapevolezza. Non esistono concorsi che richiedono la verifica WhatsApp per esprimere un voto. Quel codice fornito dai criminali è una chiave di accesso personale e non deve essere digitata nel proprio smarphone.

È fondamentale verificare periodicamente la sezione dei dispositivi collegati nelle impostazioni dell’applicazione e rimuovere eventuali sessioni non riconosciute. L’attivazione della verifica in due passaggi aggiunge un ulteriore livello di protezione.

La truffa del “voto alla ballerina” dimostra che le minacce moderne non sono necessariamente sofisticate dal punto di vista tecnico. Sono, invece, estremamente efficaci nel manipolare il comportamento umano. Comprendere il meccanismo è il primo passo per interrompere la catena di diffusione e proteggere la propria identità digitale.