Come prevenire il rischio di blocco totale da Whatsapp
"Piccola storia triste di un affezionato utente Whatsapp bloccato definitivamente da Whatsapp".
Non è fantasia, ma è realtà… purtroppo, perché chiunque può farti bloccare definitivamente da Whatsapp.
Quello che però più colpisce è con quanto cinismo Whatsapp non affronti questo problema per risolverlo o non stabilisca un canale preferenziale per le vittime inconsapevoli del blocco definitivo da Whatsapp.
Non si tratta di un trojan inserito nel dispositivo della vittima o di quale altra diavoleria, ma di un semplice e banale espediente che anche un bambino potrebbe mettere in atto.
Proprio la facilità dell’impresa, come riportato più dettagliatamente anche da Forbes, rende la vicenda ancora più scandalosa, perché non stiamo parlando della piattaforma social Pinco Pallino, ma di una piattaforma utilizzata da miliardi di utenti nel mondo, utilizzata anche più di Facebook, che proprio per questo dovrebbe offrire la massima garanzia.
Ora ti spiego come un malintenzionato può farti bloccare definitivamente da Whatsapp conoscendo solo il tuo numero telefonico.
Nella breve storia triste ci sono tre attori: Utente, Nemico e Whatsapp.
Ciak si gira!
Nemico: installa Whatsapp su un dispositivo, che potrebbe essere anche un tablet collegato WI-FI ad una rete pubblica, e avvia la registrazione inserendo il numero dell’Utente.
Nota: chiunque potrebbe tentare di installare Whatsapp su un altro dispositivo con il numero telefonico di chicchessia, perché Whatsapp non verifica se effettivamente la sim con il numero telefonico è presente nel dispositivo e questa è una grave pecca.
Utente: sullo smartphone dell’Utente arriva un SMS con il codice di registrazione di 6 cifre e anche una notifica Whatsapp.
Nota: a parte il caso che ti sto esponendo, esistono metodi per rubare un account Whatsapp, pertanto se dovesse arrivarti improvvisamente un codice di registrazione da Whatsapp non darlo mai a nessuno, perché significa che qualcuno ti sta rubando l’account.
Continuiamo la storia
Nemico: inserisce nella verifica di Whatsapp un codice sbagliato e ne richiede uno nuovo ripetendo questa operazione più volte finché Whatsapp non sospende l'invio dei codici di registrazione per 12 ore.
Utente: nel frattempo si vedrà recapitare sul proprio smartphone diversi codici di registrazione senza una plausibile spiegazione e poi basta, silenzio, ma potrà continuare ad utilizzare Whatsapp tranquillamente.
Nemico: crea un indirizzo di posta elettronica anonimo (diversi provider lo permettono) e invia una email a "
Whatsapp: potrebbe rispondere all’indirizzo email del Nemico, convinta di rispondere all'Utente, per chiedere conferma del numero di telefono da disattivare
Nemico: conferma il numero di telefono dell’Utente.
Whatsapp: nel giro di un’ora Whatsapp disattiva l’account dell’Utente, non lo blocca.
Nota: questa è un’altra grave pecca del sistema, perché la disattivazione è una procedura automatica attivata con specifiche parole chiavi e Whatsapp non si prende nemmeno la briga di verificare se la richiesta proviene veramente dall’Utente prendendo per buono l'indirizzo email utilizzato, magari potrebbe farlo con una notifica push come fa Google o con delle domande a risposta personalizzata. Esegue e basta.
Continuiamo la storia
Utente: sullo smartphone apparirà un messaggio di Whatsapp tipo: “Il tuo numero di telefono non è più registrato con WhatsApp su questo telefono. Potrebbe essere perché l'hai registrato su un altro telefono. Se non l'hai fatto, verifica il tuo numero di telefono per accedere nuovamente al tuo account". L’Utente ignaro di tutto ciò che sta accadendo alle sue spalle richiede il codice di registrazione per riattivare l'account, ma non sono ancora trascorse le 12 ore di sospensione (provocata dal Nemico) per l’invio dei nuovi codici di registrazione, quindi nisba, gli tocca aspettare e panico totale.
Nemico: conta le ore e minuti con la precisione di un orologio svizzero e allo scadere delle 12 ore di sospensione ricomincia il ciclo di prima, inizia a richiedere nuovamente il codice di registrazione ripetutamente, che verrà sempre recapitato con SMS sul telefono del malcapitato Utente, ma poco importa, perché inserirà sempre un codice di registrazione errato in modo da provocare nuovamente la sospensione dell’invio dei codici di registrazione per altre 12 ore. Il Nemico ora non dovrà più inviare l’email per disattivare l’account dell’Utente, ma gli basterà attendere nuovamente il trascorrere delle ulteriori 12 ore per ripetere per la terza volta il ciclo errato di verifiche, però questa volta la sospensione di Whatsapp non sarà più di 12 ore, ma di -1 secondo, cioè l'Utente è BLOCCATO PER SEMPRE da Whatsapp.
Come vedi non si tratta di un attacco malware come siamo soliti assistere, ma di un espediente che sfrutta delle debolezze nel controllo dell’autenticità dell’utente, perché chiunque potrebbe avviare la registrazione di Whatsapp sul proprio dispositivo utilizzando il numero di un altro utente, salvo poi recuperare il codice di verifica per portarla a termine.
Basterebbe prevedere una fase di registrazione dell’utente prima di attivare un nuovo account Whatsapp in modo da poterne verificare successivamente l’autenticità o per interloquire in maniera certa oppure verificare la presenza fisica del numero telefonico nel dispositivo, ma al momento sembra che Whatsapp non voglia affrontare il problema lasciando gli utenti in balia di malintenzionati.
Un suggerimento però è stato dato, attivare l’accesso a 2 passaggi di Whatsapp, cioè per utilizzare Whatsapp è necessario inserire un PIN o l’impronta digitale, ma non è l'accesso a 2 passaggi che potrebbe salvarti, a tentare di evitare tutto ciò potrebbe essere l’indirizzo email che hai la possibilità di inserire in fase di attivazione, perché aiuterà i tecnici di Whatsapp a interloquire con il vero Utente e a verificare l’autenticità della provenienza dei messaggi email.
Se il suggerimento è valido non si sa, ai posteri l’ardua sentenza.
Attivare l’accesso a 2 passaggi è molto semplice, devi avviare Whatsapp, tappare sull’icona menu e selezionare Impostazioni.
Nel menu impostazioni seleziona Verifica a due passaggi, tappa Attiva e segui le istruzioni sullo schermo, però non dimenticare di inserire il tuo indirizzo email salvavita del tuo account.
Ovviamente è inutile ribadire che questo espediente è illegale e perseguibile penalmente, la narrazione serve solo per comprendere la dinamica dell’attacco per porre in atto le opportune difese.
Se dovessi trovarti in una situazione simile contatta immediatamente il supporto tecnico di Whatsapp e anche se non sono tempestivi nel rispondere il tuo messaggio sarà una pietra miliare per poter riottenere successivamente il tuo account, cosa che avviene di solito a distanza di molti mesi.
Che dire, ormai Whatsapp ha un’architettura obsoleta che andrebbe rivista, zeppa di falle e rattoppi continui, non a caso anche Zuckerberg usa Signal, la chat rivale di Whatsapp.
Autore: Pasquale Romano Linkedin