Nuova truffa WhatsApp: i finti concorsi che rubano gli account

Una nuova truffa su WhatsApp sfrutta finti concorsi a votazione per rubare gli account e diffondersi tra i contatti delle vittime.

Una nuova truffa ha iniziato a circolare su WhatsApp con una modalità solo all’apparenza innocua. Si tratta di messaggi che invitano a votare un concorrente per un premio o un concorso, che arrivano da contatti conosciuti, spesso amici o familiari. Proprio questa familiarità abbassa le difese e spinge molte vittime a compiere azioni che appaiono immediatamente sospette.

La truffa dei concorsi a votazione su WhatsApp
Perché la truffa su WhatsApp è così efficace
Come proteggersi dalle truffe su WhatsApp e dall’account takeover

truffa whatsapp finti concorsi account image

In realtà, dietro questi finti concorsi non si nasconde una semplice campagna di phishing votata alla diffusione di malware, bensì un tentativo di account takeover. Quando la vittima cade nella trappola, l’attore malevolo si impossessa del suo account WhatsApp e lo sfrutta come vettore per colpire altri utenti. In questo modo viene alimentata una catena di attacco molto difficile da fermare.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

La truffa dei concorsi a votazione su WhatsApp

Individuata dai ricercatori di Kaspersky il 19 settembre 2025, la truffa si presenta sotto forma di un messaggio apparentemente innocuo che invita a votare una persona per un concorso o una competizione online. Il testo è semplice, spesso accompagnato da un link e da una breve richiesta di aiuto, come “puoi votare per me?”. Tale messaggio non arriva da numeri sconosciuti, ma da contatti reali già presenti nella rubrica della vittima.

Cliccando sul link, l’utente viene reindirizzato a una pagina web che simula un sistema di votazione. Per esprimere il voto, viene richiesto di inserire il proprio numero di telefono e, successivamente, un codice di verifica ricevuto via SMS o direttamente su WhatsApp. In realtà, quel codice non serve a votare, ma è l’OTP necessario per registrare l’account WhatsApp su un nuovo dispositivo controllato dall’attaccante.

Quando il codice viene inserito, l’account viene immediatamente sottratto al legittimo proprietario. L’attaccante ottiene così il pieno controllo della chat, della lista contatti e dei gruppi. In questo modo sfrutta l’account compromesso per inviare lo stesso messaggio ad altri utenti. In questo modo, la truffa si autoalimenta e si diffonde rapidamente, sfruttando la fiducia tra contatti reali.

Perché la truffa su WhatsApp è così efficace

Ciò che rende efficaci le truffe su WhatsApp è il fattore fiducia. Molto spesso i messaggi scam non arrivano da numeri sconosciuti, ma da contatti reali già presenti nella rubrica della vittima. Questo azzera quasi del tutto il sospetto iniziale e porta l’utente a considerare il messaggio come legittimo, abbassando le difese cognitive che normalmente si attiverebbero davanti a un tentativo di phishing. La truffa dei finti concorsi non fa eccezione.

Un elemento molto importante legato a questa truffa è la totale assenza di malware. L’attacco sfrutta esclusivamente funzioni legittime di WhatsApp, in particolare il sistema di verifica tramite codice OTP. Non essendoci file da scaricare o applicazioni da installare, antivirus e sistemi di protezione tradizionali non rilevano alcuna anomalia. L’utente, quindi, non riceve alcun segnale di allarme.

Tuttavia, ciò che rende questa truffa così facile da diffondere in maniera quasi del tutto automatica, è la sua struttura. Poiché ogni account compromesso diventa immediatamente un nuovo vettore di attacco, la campagna si può espandere in maniera esponenziale. Nessuno sospetta nulla, se il messaggio che riceve arriva da un amico, o da un familiare vicino.

Come proteggersi dalle truffe su WhatsApp e dall’account takeover

Come visto nelle sezioni precedenti, il cuore dell’account takeover risiede nell’ingegneria sociale e nei codici OTP. Sfortunatamente non esiste un metodo universale per difendersi in maniera definitiva, ma restano una serie di best practices e consigli di facile applicazione. Vediamoli più da vicino.

Mai condividere i codici OTP di WhatsApp.
Il codice ricevuto via SMS o direttamente nell’app serve esclusivamente per l’accesso all’account. Nessun concorso, voto o servizio legittimo lo richiede. Condividerlo equivale a cedere il controllo dell’account.
Diffidate di link ricevuti anche da contatti conosciuti.
Se un messaggio invita a cliccare su un link o a votare per qualcosa, è sempre opportuno fermarsi e verificare. In caso di dubbio, contattare il mittente tramite un altro canale prima di compiere qualsiasi azione.
Attivare la verifica in due passaggi di WhatsApp.
L’impostazione di un PIN aggiuntivo rende molto più difficile il furto dell’account, anche nel caso in cui un codice di verifica venga intercettato o condiviso per errore.
Proteggere l’accesso alla SIM e al numero di telefono.
Il numero è la chiave dell’account WhatsApp. PIN sulla SIM e attenzione a tentativi di SIM swapping riducono il rischio di compromissione.
Avvisare immediatamente i propri contatti in caso di sospetto.
Se si è cliccato su un link sospetto o si sospetta un tentativo di truffa, informare subito i propri contatti può interrompere la catena di diffusione e limitare i danni.
Segnalare l’account compromesso a WhatsApp.
In caso di perdita di accesso, è fondamentale contattare immediatamente il supporto WhatsApp per tentare il recupero dell’account e bloccarne l’uso fraudolento.

In conclusione

La truffa dei finti concorsi su WhatsApp dimostra come, oggi, il vero punto debole non sia la tecnologia ma il modo in cui viene utilizzata. Ormai siamo così abituati a ricevere messaggi dai nostri cari, da concedere una fiducia cieca a qualsiasi cosa ci venga inviata. Non ci vuole molto perché un cybercriminale la sfrutti a proprio vantaggio, per ottenere il controllo di un account. È un attacco semplice, ma proprio per questo estremamente efficace.

Nella nostra realtà odierna le piattaforme di messaggistica istantanea sono ormai parte integrante della vita personale e lavorativa. Per cui, la nostra consapevolezza deve diventare una misura di sicurezza imprescindibile. Capire come funzionano questi raggiri e riconoscerne i segnali è l’unico modo a nostra disposizione per spezzare la catena di compromissione prima che si trasformi in un problema serio, per sé e per gli altri.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.