GhostPairing sfrutta i “Dispositivi collegati” di WhatsApp per spiare chat e messaggi senza malware. Come funziona e come difendersi.
L’idea che WhatsApp sia “blindato” grazie alla crittografia end-to-end è sostanzialmente corretta. Ma solo fino a quando nessuno riesce a entrare legittimamente nel tuo account. È qui che si inserisce il GhostPairing, una tecnica di ingegneria sociale individuata dai ricercatori di Gen Digital che non rompe la crittografia, non installa malware e non forza sistemi: convince l’utente ad aprire la porta da solo.
Il punto è tutto qui. Se un attaccante riesce a collegare un proprio dispositivo al tuo WhatsApp, non ha bisogno di violare nulla. Da quel momento legge, ascolta e può persino scrivere da dentro, come se fosse te. E tu continui a usare l’app normalmente, senza avvisi evidenti, senza blocchi improvvisi, senza quella sensazione di “qualcosa che non va” tipica di altre truffe.
Cos’è il GhostPairing e perché è diverso dalle solite truffe
Il GhostPairing non punta a rubare password (WhatsApp non ne usa), non passa da SIM swap e non richiede competenze tecniche particolarmente avanzate. Sfrutta invece una funzione reale e legittima dell’app: “Dispositivi collegati” (quella che usiamo tutti per collegarci tramite WhatsApp Web o Desktop).
La differenza è tutta psicologica. L’attacco non cerca di aggirare i sistemi di sicurezza, ma di indirizzare il comportamento dell’utente, inducendolo ad autorizzare un nuovo dispositivo pensando di stare completando una procedura innocua. È una forma di ingegneria sociale raffinata proprio perché non ha bisogno di apparire aggressiva.
Una volta stabilito il collegamento, l’intruso diventa un osservatore silenzioso. Può leggere la cronologia delle chat, scaricare foto e video, ascoltare messaggi vocali. Ma c’è un aspetto ancora più critico: può inviare messaggi impersonando la vittima, trasformando l’account compromesso in un ponte per colpire l’intera rubrica.
Il messaggio-esca: credibile, breve e spesso “familiare”
Tutto inizia quasi sempre con un messaggio che non ha nulla di allarmante. Anzi, è colloquiale, diretto, costruito per non far scattare alcun campanello d’allarme:
«Ehi, ho appena trovato una tua foto!»
Oppure una frase simile, seguita da un link.
L’elemento decisivo è che il messaggio arriva da un contatto reale: un amico, un collega, un familiare. Non da un numero sconosciuto. Questo perché, nella catena del GhostPairing, l’account di quella persona è già stato compromesso e viene usato come veicolo.
Il link rimanda a domini apparentemente generici – spesso con riferimenti a foto o post – che conducono a una pagina web costruita per sembrare familiare. Colori, layout e impostazione ricordano Facebook o altri social noti. L’obiettivo è uno solo: abbassare le difese.
Il passaggio chiave: quando “verifica” significa autorizzazione
La pagina fraudolenta avvisa che, per visualizzare il contenuto promesso, è necessario “verificare l’identità”. Non chiede credenziali Facebook. Non chiede password. Avvia invece, in background, la procedura per collegare un nuovo dispositivo a WhatsApp.
Qui entra in gioco un dettaglio poco conosciuto: WhatsApp consente l’associazione di un dispositivo anche tramite codice alfanumerico, non solo con il QR code. È una funzione pensata per semplificare l’accesso, ma in questo contesto diventa l’anello debole.
La vittima vede comparire un codice e un’istruzione apparentemente innocua: “Inseriscilo in WhatsApp per confermare e vedere la foto”. Convinta di completare un controllo di sicurezza, apre l’app e autorizza l’abbinamento. In realtà sta concedendo accesso a un dispositivo esterno.
Da quel momento l’attaccante diventa un dispositivo “fantasma”. Invisibile, persistente, operativo.
Come difendersi dal GhostPairing su WhatsApp
Il primo principio è semplice: WhatsApp non ha motivo di chiederti, tramite un sito esterno, di inserire codici o scansionare QR per vedere una foto. Se una pagina web lo fa, è un segnale chiaro.
Subito dopo, c’è un controllo pratico che andrebbe fatto periodicamente:
Apri WhatsApp e vai in Impostazioni > Dispositivi collegati.
Osserva con attenzione l’elenco. Se compare un browser, un sistema o una località che non riconosci, aprilo e seleziona Esci.
È un’azione banale, ma decisiva.
L’attivazione della verifica in due passaggi aggiunge un ulteriore livello di protezione. Non è una soluzione definitiva contro ogni forma di abuso, ma riduce sensibilmente il raggio d’azione di chi riesce a entrare.
Il GhostPairing funziona perché sfrutta fiducia, abitudine e fretta. Difendersi non significa diventare paranoici, ma riconoscere quando una richiesta “normale” non lo è affatto.
Vuoi rimanere aggiornato su tutte le ultime news? Iscriviti al nostro canale Telegram!
Qualche tutorial non funziona? Hai qualche soluzione per noi? Vuoi una mano? Scrivi a informaticaperanziani [AT] gmail.com