«Abbinamento fantasma» I truffatori leggono le vostre chat su WhatsApp con questa nuova trappola
I criminali sfruttano una funzione legittima di WhatsApp per prendere il controllo degli account. Ecco cosa sapere sull'«abbinamento fantasma» per evitare di cadere nella trappola.
03.02.2026, 06:01
Martin Abgottspon
Hai fretta? blue News riassume per te
- I truffatori riescono a dirottare gli account WhatsApp spingendo gli utenti ad autorizzare la funzione ufficiale «collega dispositivi» attraverso siti di phishing.
- Una volta effettuato il collegamento, gli aggressori possono accedere a messaggi, contatti e persino dati bancari, senza che la vittima se ne accorga, mentre l'app continua a funzionare apparentemente senza anomalie.
- Per questo motivo è fondamentale prestare massima attenzione alle richieste di collegamento e ai codici QR visualizzati all'interno di WhatsApp.
Basta un codice a otto cifre visualizzato sullo schermo, presentato come una verifica dell'identità, perché la trappola si chiuda.
Convinto di rispondere a una normale richiesta di sicurezza di WhatsApp o di un contatto fidato, l’utente ignora che un estraneo ha già accesso, in sottofondo, alle conversazioni più private.
La manovra, che gli esperti di sicurezza definiscono «accoppiamento fantasma», non si basa su una falla tecnica nel codice di WhatsApp, bensì su una manipolazione mirata dell'utente.
Gli aggressori attirano le vittime su siti web appositamente preparati, attraverso messaggi di phishing dall'aspetto ingannevolmente autentico. Spesso queste comunicazioni arrivano tramite account già compromessi della cerchia di conoscenti oppure camuffate da notifiche ufficiali delle piattaforme social.
In questo caso, i truffatori chiedono alla vittima di confermare il proprio numero di telefono. Non appena questi dati vengono comunicati, i criminali attivano la funzione ufficiale di collegamento del dispositivo.
WhatsApp genera quindi un codice di collegamento, al quale gli aggressori accedono tramite la loro pagina falsa. Chi inserisce questo codice o conferma incautamente una richiesta di accoppiamento all'interno dell’app perde il controllo dei propri dati.
Come proteggersi dall'accoppiamento fantasma
- Non confermate mai una richiesta di accoppiamento o un codice a otto cifre nella vostra app WhatsApp se non avete avviato voi stessi questo processo in quel preciso momento.
- Eseguite la scansione dei codici QR per accedere a WhatsApp Web solo sul sito ufficiale web.whatsapp.com e mai su siti web che vi sono stati inviati tramite un link in un messaggio.
- Siate estremamente scettici se vi viene chiesto tramite Messenger o SMS di «verificare» il vostro numero di telefono su un sito web esterno.
- Controllate regolarmente l'elenco delle sessioni registrate nelle impostazioni di WhatsApp alla voce «Dispositivi collegati». Eliminate immediatamente i dispositivi che non riuscite ad assegnare con certezza.
- Inserire un PIN aggiuntivo nelle impostazioni dell'account, in quanto rappresenta un'ulteriore barriera che rende molto più difficile per gli aggressori prendere il pieno controllo del vostro account.
L'incursione silenziosa in background
La particolarità di questa truffa è che risulta al tempo stesso invasiva e poco appariscente.
Dopo l'accoppiamento, WhatsApp sincronizza messaggi, contenuti multimediali e contatti sul dispositivo dell’aggressore. Poiché il messenger continua a funzionare normalmente sullo smartphone della vittima, l’intrusione digitale resta spesso inosservata per molto tempo.
Le vittime di questo tipo di attacco sono particolarmente appetibili, poiché i dati sottratti permettono un furto d'identità completo. Le cronologie delle chat contengono spesso informazioni sensibili, come dati bancari o indirizzi e-mail condivisi con leggerezza, che possono essere sfruttati direttamente a fini finanziari.
Inoltre, l'account dirottato diventa subito una nuova piattaforma per diffondere ulteriori messaggi di phishing a tutti i contatti della vittima, sfruttando il rapporto di fiducia all’interno del social network per lanciare nuovi attacchi.
