WhatsApp bloccato: i 4 passi per recuperare un account rubato

I furti d'identità su WhatsApp avvengono principalmente tramite ingegneria sociale. Gli aggressori ingannano le vittime per ottenere il codice di verifica od OTP e prendere il controllo dell'account, sfruttandolo per truffe e frodi. Cosa fare per proteggersi in modo efficace.
Michele Nasi
Pubblicato il 3 feb 2025
WhatsApp bloccato: i 4 passi per recuperare un account rubato

I criminali informatici utilizzano diverse tattiche per provare a prendere il controllo degli account WhatsApp altrui. Gli utenti sono infatti soliti usare WhatsApp per scambiarsi messaggi contenenti dati riservati, foto di documenti, immagini personali e così via. Ritrovarsi con WhatsApp bloccato è per molti un problema rilevante perché l’app di messaggistica è utilizzata non solo come strumento di comunicazione ma come software per conservare dati importanti.

L’elemento utilizzato per l’autenticazione su WhatsApp resta il numero di telefono. Ciò significa che per usare l’app di messaggistica è necessario poter ricevere un messaggio o una chiamata sull’utenza telefonica. WhatsApp invia un codice numerico di 6 cifre, detto OTP (one-time password), che – digitato nella schermata di verifica dell’applicazione – serve per confermare il possesso dell’utenza telefonica indicata.

Account WhatsApp rubati e furti d’identità

I furti d’identità su WhatsApp avvengono principalmente attraverso tecniche di ingegneria sociale, in particolare mediante la truffa del codice di verifica a 6 cifre. La vittima riceve un messaggio da un contatto che afferma di aver inviato un codice per errore e chiede di condividerlo tramite messaggio.

Se l’utente cade nel tranello (mai condividere il codice di verifica a 6 cifre!…), il truffatore può accedere all’account WhatsApp altrui disconnettendo l’utente legittimo e cambiando eventualmente nome e foto.

Conseguenze del furto d’identità

Le conseguenze del furto d’identità su WhatsApp possono essere rilevanti. I truffatori tipicamente usano l’account rubato per chiedere ai contatti della vittima informazioni personali, come nomi utente e password, dati bancari, estremi di carte di credito, copie di documenti, con lo scopo di condurre attacchi mirati potenzialmente molto efficaci.

Presentandosi come un altro utente, un criminale ha spesso gioco facile per farsi consegnare informazioni importanti. Per gli account WhatsApp più attivi, è sufficiente che l’aggressore attenda la ricezione di qualche messaggio proveniente dai contatti della vittima.

Una volta che l’aggressore ha il controllo dell’account WhatsApp, può leggere tutte le comunicazioni future. Questo gli consente di raccogliere informazioni che potrebbero essere utili per attività di social engineering oppure per condurre ulteriori frodi. Sfruttando la fiducia che le persone hanno nel numero di telefono compromesso, l’aggressore può chiedere soldi o congegnare attività di phishing molto mirate. Inviando link fraudolenti, ad esempio, può persuadere i contatti della vittima a inserire informazioni personali.

Rubare un account WhatsApp può anche permettere ai criminali di danneggiare la reputazione della vittima, inviare messaggi compromettenti o creare disagio in ambito sociale, familiare e professionale.

Come recuperare un account WhatsApp rubato in 4 passaggi

Nella malaugurata circostanza in cui un utente WhatsApp avesse rivelato un codice OTP all’aggressore, la vittima può recuperare il controllo del suo account seguendo alcuni semplici passaggi:

  • Registrazione su WhatsApp: Aprire l’app di WhatsApp sul proprio smartphone e inserire il numero di telefono associato all’account.
  • Ricezione del codice di verifica: Attendere l’arrivo di un codice a 6 cifre via SMS. Il codice è necessario per completare la registrazione e riconnettere l’account al dispositivo dell’utente.
  • Inserimento del codice: Dopo aver ricevuto il codice di verifica, una volta inserito nella schermata di WhatsApp, chiunque stia utilizzando l’account viene automaticamente disconnesso. L’accesso da parte dell’utente legittimo è così ripristinato.
  • Verifica in due passaggi: Se l’aggressore avesse attivato la verifica in due passaggi, l’utente deve attendere 7 giorni prima di poter accedere nuovamente senza il codice PIN. Durante questo periodo, l’aggressore rimarrà comunque disconnesso dall’account del quale si era precedentemente impossessato.

Una volta recuperato l’accesso è consigliabile informare i propri contatti circa il furto subìto perché nel frattempo l’aggressore potrebbe aver posto in essere ulteriori comportamenti truffaldini ai loro danni. Tradotto, potrebbe essere sensato allertare gli interlocutori abituali sull’importanza di non dare credito ai messaggi a loro destinati in una specifica finestra temporale.

Accesso alle chat WhatsApp e ai messaggi dell’utente

È importante evidenziare che, nelle situazioni tipiche, l’aggressore non ha modo per accedere alla cronologia delle chat WhatsApp e quindi allo storico dei messaggi inviati e ricevuti in passato.

Queste informazioni sono infatti memorizzate in locale sui dispositivi dell’utente con crittografia end-to-end (smartphone principale ed eventuali “dispositivi collegati” aggiunti all’account con codice QR: tre puntini nell’interfaccia di WhatsApp, Dispositivi collegati). Inoltre, possono essere eventualmente oggetto di backup sul cloud Google Drive o Apple iCloud (senza o con crittografia end-to-end). A seconda di come è definito il backup delle chat nelle impostazioni di WhatsApp (Impostazioni, Chat, Backup delle chat).

WhatsApp non memorizza messaggi e allegati (fatta eccezione per una cache temporanea, della quale parliamo più avanti) sui suoi server.

La crittografia end-to-end su WhatsApp

L’uso della crittografia end-to-end sta a significare che solo gli utenti coinvolti nelle conversazioni possono accedere al contenuto dei messaggi (e degli allegati). I dati sono infatti crittografati usando una coppia di chiavi generate in locale sui singoli dispositivi, con la chiave privata che non è mai condivisa con nessuno (nemmeno con WhatsApp!). Soggetti terzi non autorizzati non possono quindi leggere, modificare, rimuovere o danneggiare le chat WhatsApp in transito.

Di default i backup su Google Drive ed Apple iCloud non sono crittografati: sia Google che Apple possono, in linea teorica, accedere al contenuto dei messaggi disponendo della chiave di decodifica lato server. Attivando la cifratura end-to-end dall’interfaccia di WhatsApp, si ha la certezza che solo l’utente possa ripristinare i backup e leggere il loro contenuto.

WhatsApp permette di specificare una password a protezione dell’archivio cifrato su Google Drive ed Apple iCloud oppure si può utilizzare una chiave lunga 64 byte, automaticamente generata.

Un aggressore non può accedere alle chat pregresse tranne che…

Tipicamente, un aggressore remoto non ha la possibilità di recuperare le chat passate relative all’account WhatsApp altrui. Quelle sì, contengono messaggi e allegati, spesso, di grande valore.

Per poter estrapolare anche la cronologia delle chat, l’aggressore dovrebbe aver compromesso anche l’account Google o Apple appartenente alla vittima e associato a WhatsApp. Nella maggior parte dei casi, oltre ad aver recuperato la password corretta, dovrebbe superare anche l’autenticazione a due fattori (la verifica in due passaggi Google è richiesta ormai da fine 2021).

Se fosse riuscito a impiantare un malware (anche usando l’ingegneria sociale) sui dispositivi della vittima, un criminale informatico potrebbe effettivamente essere in grado di recuperare anche la cronologia WhatsApp. Ma a questo punto WhatsApp sarebbe forse l’ultimo dei problemi per la vittima dell’attacco.

Accesso al database locale di WhatsApp

WhatsApp salva le chat localmente sul dispositivo in un database SQLite crittografato. Se l’attaccante ha accesso fisico al telefono o lo infetta con uno spyware, può copiare il database locale delle chat dalla cartella /WhatsApp/Databases e decodificarlo. Almeno in linea teorica.

La cartella contenente la chiave privata per la decodifica dei messaggi si trova nel percorso /data/data/com.whatsapp/files/key su Android e non è immediatamente accessibile. Un malware può comunque eludere la restrizione e riuscire a recuperare i dati delle chat pregresse (ad esempio sfruttando vulnerabilità o configurazioni non sicure). Per non parlare dei dispositivi già sottoposti a rooting: in questi casi l’operazione è notevolmente più semplice.

E no, non stiamo sconsigliando di aggiornare i vecchi terminali Android con una ROM personalizzata: stiamo semplicemente rammentando che bisogna sempre usare la massima attenzione quando si installano nuove app. Il caricamento di un malware sul telefono può avere conseguenze devastanti, furti d’identità compresi (e non solo su WhatsApp…).

Attivazione della verifica in due passaggi

A stretto rigore, il fatto che WhatsApp utilizzi lo stesso numero di telefono usato per la registrazione al fine di autenticare l’utente, non può essere considerata come una misura di sicurezza sufficiente. D’altra parte, gli attacchi SIM swap sono sempre più diffusi: in questo caso, con la connivenza di dipendenti infedeli degli operatori di telefonia mobile, è tecnicamente possibile forzare l’associazione di un’utenza telefonica su una SIM o eSIM sotto il diretto controllo dell’aggressore.

La verifica in due passaggi di WhatsApp è un livello aggiuntivo di sicurezza che aiuta a proteggere l’account da qualunque tentativo di furto. Accessibile dalle impostazioni di WhatsApp, toccando quindi su Account e infine su Verifica in due passaggi, la funzione permette l’aggiunta di un PIN a 6 cifre. Quando attivata, oltre al codice OTP ricevuto, WhatsApp chiede di inserire il PIN segreto ogni volta che si registrasse l’account su un nuovo dispositivo.

Dopo la definizione del proprio PIN, WhatsApp chiede di specificare opzionalmente un’email di recupero. Nel caso in cui si dimenticasse il PIN, WhatsApp invierà un link per reimpostarlo proprio a questo indirizzo email.

Se WhatsApp non memorizza messaggi sui suoi server perché la consegna di un allegato già inviato è istantanea?

WhatsApp ha sempre dichiarato di non memorizzare copia delle chat sui suoi server. L’app di messaggistica, tuttavia, gestisce una cache che ha validità temporale massima pari a 30 giorni.

All’interno di tale cache è conservata una copia crittografata degli allegati più pesanti: si pensi a immagini e video di grandi dimensioni. Si tratta di materiale che non è in alcun modo recuperabile in chiaro né da parte di WhatsApp, né da utenti non autorizzati. A potervi accedere è soltanto l’utente che ha già caricato gli stessi file sul network WhatsApp, perché in possesso della corrispondente chiave di decodifica.

Ecco perché l’invio di un video pesante, già inviato in precedenza su WhatsApp, risulta istantaneo: proprio perché l’utilizzo della cache sui server WhatsApp ne consente il recupero immediato. Per approfondire, spieghiamo in un altro articolo perché l’inoltro degli allegati pesanti su WhatsApp è veloce.

Ti consigliamo anche

WhatsApp: media effimeri anche sui dispositivi collegati, finalmente
Applicativi

WhatsApp: media effimeri anche sui dispositivi collegati, finalmente
Chiunque può risalire alla vostra posizione geografica: ecco come
Identità digitale

Chiunque può risalire alla vostra posizione geografica: ecco come
WhatsApp: sventato pericoloso attacco hacker, nel mirino giornalisti e funzionari pubblici
Applicativi

WhatsApp: sventato pericoloso attacco hacker, nel mirino giornalisti e funzionari pubblici
Terza spunta blu WhatsApp: perché è una bufala
Mobile

Terza spunta blu WhatsApp: perché è una bufala
Link copiato negli appunti