Un messaggio breve, quasi banale: "Ciao, puoi votare la figlia di miei amici? Partecipa a una gara di ballo, le serve un voto. Basta un click". Arriva su WhatsApp da un contatto conosciuto, magari un collega, un amico o un parente. Proprio per questo non insospettisce. Si apre il link, si segue la procedura, si inserisce il numero di telefono “per confermare il voto” e, nel giro di pochi minuti, il proprio account sparisce. È la cosiddetta “truffa della ballerina”, una delle catene di phishing più diffuse degli ultimi mesi, capace di sottrarre profili e trasformarli in strumenti per colpire altre vittime. La “ballerina” in realtà non esiste. È solo un’esca emotiva, costruita per far abbassare la guardia. E basta un gesto automatico, un click fatto senza pensarci, per trasformare un favore in una trappola digitale.
Il trucco sta tutto nella fiducia. I truffatori non scrivono da numeri sconosciuti: utilizzano account già compromessi. Prima rubano il profilo di una persona, poi inviano il messaggio a tutta la sua rubrica. Chi lo riceve pensa di fare un favore a qualcuno che conosce davvero. Il link porta a una pagina che imita un concorso o una votazione online. Per partecipare viene richiesto di inserire il numero di cellulare. Subito dopo arriva via SMS il codice di verifica di WhatsApp, quello che serve per attivare l’account su un nuovo dispositivo. Se quel codice viene digitato sul sito – o comunicato in chat – si consegnano di fatto le chiavi del proprio profilo ai truffatori.
A quel punto l’utente viene estromesso e gli hacker iniziano a scrivere a nome suo. Chiedono soldi con scuse urgenti, diffondono altri link malevoli, tentano nuove truffe a catena. In poche ore decine di persone possono cadere nello stesso raggiro, convinte di parlare con un amico vero. Il danno non è solo economico: dentro l’account ci sono conversazioni private, contatti, informazioni personali che possono essere usate per ulteriori ricatti o frodi.
I segnali d’allarme, a ben guardare, ci sono sempre: concorsi sconosciuti, link strani, richieste di inserire il numero di telefono, messaggi scritti in modo generico o frettoloso. Soprattutto, nessuna votazione legittima chiede il codice di verifica ricevuto via SMS. Quel codice è strettamente personale e non va condiviso con nessuno, mai.
La difesa è semplice ma richiede attenzione: evitare di cliccare su link sospetti anche se arrivano da contatti noti, attivare la verifica in due passaggi con un PIN di sicurezza, avvisare subito l’amico se si riceve il messaggio così che possa accorgersi di aver perso il controllo del proprio profilo. Se l’account viene sottratto, tentare immediatamente il nuovo accesso può talvolta bloccare l’operazione prima che sia definitiva.
pa.ga.
