La scorsa settimana le agenzie di stampa brasiliane hanno segnalato una truffa relativa a WhatsApp, in cui un utente malintenzionato poteva accedere a un account WhatsApp attivando il numero di telefono di destinazione su un altro dispositivo in controllo di un truffatore. Un rapporto dettagliato è disponibile qui (link portoghese). La truffa funziona come segue:
- Un datore di lavoro del corriere cui appartiene il numero di telefono di destinazione attiva lo stesso numero su un altro dispositivo, in possesso del truffatore.
- Il truffatore attiva quindi l'account WhatsApp della vittima su questo nuovo telefono, poiché ora può acquisire l'SMS utilizzato per convalidare se un determinato dispositivo ha il controllo di un determinato numero.
- Il truffatore contatta la famiglia e gli amici della vittima, fingendo di aver bisogno di soldi, chiedendo il trasferimento, questo genere di cose.
Naturalmente ci sono molti difetti nel piano, dal momento che il proprietario originale del telefono noterebbe che il suo dispositivo non funziona più e alcuni truffatori sono già stati catturati. Ha anche bisogno della collaborazione di un dipendente del vettore disonesto. Inoltre, con la nuova funzionalità WhatsApp dell'autenticazione in due passaggi, questo attacco può essere prevenuto per 7 giorni.
Tuttavia, tutti i notiziari hanno riferito che i truffatori avevano accesso ai seguenti dati:
- Gruppi
- Contatti
- Cronologia delle chat
I primi due elementi mi sembrano ragionevoli, quello che sembra strano è come gli scammer possano avere accesso alla cronologia delle chat , poiché sappiamo che WhatsApp memorizza solo messaggi crittografati non consegnati . Ciò significa che il truffatore sta recuperando la cronologia dal backup di Google Drive . Tuttavia, il truffatore ha solo il potere di impossessarsi del numero di telefono , come può ottenere l'accesso ai file di conversazione su Google semplicemente controllandolo?
Penso che sia improbabile che ciò sia vero, perché il mio account Google è protetto da una password e un controllo extra tramite autenticazione in due passaggi, che il truffatore non ha. Questa storia non viene riportata in modo accurato?