Era già nota da almeno un anno, ma negli ultimi giorni è stata avviata una nuova campagna, come riportato dalla Polizia Postale da Adiconsum. Si tratta della famigerata truffa della ballerina. I cybercriminali inviano un messaggio alle potenziali vittime, chiedendo di esprimere un voto per una ballerina. In realtà, lo scopo è rubare l’account.

Come funziona la truffa

La truffa della ballerina è un classico esempio di smishing. Il messaggio arriva da un contatto noto e presente nella rubrica dello smartphone, quindi non viene considerato un pericolo. In realtà è stato scritto dai cybercriminali dopo aver preso il controllo dell’account WhatsApp di amici o familiari.

Il testo del messaggio è simile a questo (c’è anche la foto di una bambina in tutù):

Ciao! Puoi votare per Federica? È la figlia di una mia amica/la nipote di… Sta partecipando a un concorso di danza e con il tuo voto può vincere una borsa di studio per un anno di corsi gratuiti. Non costa niente, basta un click qui: [link]

Il link non porta ad una pagina di voto legittima, ma ad un sito fasullo con design simile ad una piattaforma nota. Cliccando sul pulsante di voto viene chiesto di effettuare il login con WhatsApp.

L’utente deve prima inserire il suo numero di telefono e successivamente il codice a sei cifre ricevuto tramite SMS. Questi due dati permettono ai cybercriminali di prendere il controllo dell’account e di inviare lo stesso messaggio a tutti i contatti per proseguire la truffa.

Dopo qualche ora o giorno, le ignare vittime iniziano a ricevere richieste di soldi per varie emergenze (che i cybercriminali promettono di restituire). Credendo che le richieste arrivino da un amico o un familiare, gli utenti inviano denaro tramite bonifico o ricariche PostePay.

La Polizia Postale è al lavoro per individuare gli autori della truffa. Nel frattempo, gli utenti devono seguire alcuni utili consigli. Non cliccare su nessun link presente nei messaggi (anche se il mittente è noto). Non devono ovviamente essere inseriti numeri di telefono e codici in pagine web. Devono inoltre essere disconnessi tutti i dispositivi sconosciuti e contattati amici e familiari tramite altri canali (email, telefonata, social media).

Per non correre rischi è meglio attivare l’autenticazione in due fattori. In caso di furto dell’account può essere inviata una segnalazione alla Polizia Postale.