Skip to main content

Ghost Pairing: cos'è e come difendersi dalla truffa WhatsApp

ghost pairing
| Luca Lampis | News

Negli ultimi mesi, la definizione Ghost Pairing (o GhostPairing) è diventata sempre più presente nelle discussioni sulla sicurezza digitale. Il motivo è semplice: descrive un insieme di tecniche che, invece di “forzare” WhatsApp con exploit complessi, sfruttano i meccanismi legittimi di collegamento dei dispositivi e soprattutto la distrazione, la fiducia e l’urgenza emotiva. In altre parole: è spesso ingegneria sociale applicata in modo estremamente efficace.

Per chi usa WhatsApp per lavoro, per chi gestisce informazioni riservate o per chi coordina team e clienti tramite chat e gruppi, l’impatto può essere serio: un accesso non autorizzato può tradursi in furto d’identità, richiesta di denaro ai contatti, sottrazione di documenti e dati sensibili. Nel linguaggio del settore, parliamo di cybercrime e, in alcuni casi, di veri e propri reati informatici, con conseguenze reputazionali ed economiche.

In questo articolo chiariremo:

  • che cosa si intende davvero per ghost pairing (e perché esistono due significati diversi);

  • come si intreccia con le principali truffe su WhatsApp e con le truffe online più ricorrenti;

  • come riconoscere i segnali più affidabili;

  • cosa fare subito e quali abitudini riducono il rischio in modo concreto.

Indice dei contenuti

  1. Che cos’è il Ghost Pairing (e perché si parla di “due Ghost Pairing”)
    1. GhostPairing su WhatsApp: non è “un bug”, è abuso del pairing
    2. Ghost pairing “tecnico” via Bluetooth: vulnerabilità e pairing automatico
  2. Come funziona un attacco GhostPairing su WhatsApp (passo per passo)
    1. 1) L’innesco tipico: messaggio “credibile” e contatto fidato
    2. 2) Il link porta a una pagina fake (phishing) che “prepara” il pairing
    3. 3) QR code o codice numerico: il momento in cui si concede l’accesso
    4. 4) “È possibile senza che io tocchi nulla?”
  3. Cosa può fare chi “ghosta” il tuo account WhatsApp
    1. Lettura, monitoraggio e scaricamento contenuti
    2. Impersonificazione e truffe a catena
    3. “Può intercettare OTP bancari o SMS?”
    4. “Mi blocca fuori o continuo a usare WhatsApp?”
  4. Segnali e diagnosi: come capire se c’è un dispositivo “fantasma”
    1. Controllo principale: Dispositivi collegati
    2. Segnali “indiretti” ma rilevanti
  5. Cosa fare se pensi di essere vittima: procedura rapida e ordinata
    1. 1) Disconnetti i dispositivi sospetti (o disconnetti tutto)
    2. 2) Attiva o modifica la verifica in due passaggi (2FA)
    3. 3) Avvisa i contatti (in modo controllato)
    4. 4) Se c’è danno economico: muoviti su canali finanziari e tutela legale
    5. 5) Conserva evidenze
  6. Truffe su WhatsApp: le tipologie più comuni e i segnali che le tradiscono
    1. Truffa del codice a 6 cifre (takeover classico)
    2. “Ho cambiato numero” (finto figlio/finta madre)
    3. Phishing via link: votazioni, coupon, premi
    4. Truffe lavoro/“task”
    5. Finte assistenze (banca, corriere, piattaforme)
    6. Allegati e file: APK, PDF, “fatture”
  7. “Ma WhatsApp non è cifrato end-to-end?” Perché la cifratura non basta
  8. Bluetooth, auto a noleggio e ambienti BYOD: il rischio “laterale” che molti ignorano
    1. Stealtooth e pairing automatico
    2. Attacchi HID: quando il Bluetooth “digita” al posto tuo
    3. Auto a noleggio e infotainment: dati residui
  9. Checklist di prevenzione (pratica e non teorica)
  10. FAQ essenziali (le risposte che risolvono i dubbi più cercati)

Che cos’è il Ghost Pairing (e perché si parla di “due Ghost Pairing”)

Il primo problema, quando si cerca “ghost pairing”, è la confusione terminologica. In rete il termine viene usato per indicare due fenomeni distinti, entrambi pericolosi ma molto diversi per natura.

GhostPairing su WhatsApp: non è “un bug”, è abuso del pairing

Nel contesto WhatsApp, Ghost Pairing descrive una tecnica con cui l’attaccante induce l’utente a collegare un dispositivo esterno al proprio account (tramite Dispositivi collegati, WhatsApp Web o app desktop). Il punto è cruciale: non si “rompe” la sicurezza di WhatsApp con un attacco tecnico puro; si porta l’utente a fare lui stesso l’azione che concede accesso.

Ecco perché molte campagne funzionano: l’utente è convinto di fare una verifica, di vedere una foto, di votare qualcuno o di ripristinare l’account. In realtà sta autorizzando una sessione esterna.

Ghost pairing “tecnico” via Bluetooth: vulnerabilità e pairing automatico

In ambito Bluetooth, “ghost pairing” viene talvolta usato (anche impropriamente) per indicare scenari in cui un dispositivo entra in modalità di accoppiamento automatica e può essere intercettato o “agganciato” da terzi. Qui rientrano concetti come sovrascrittura di chiavi di collegamento (link key) e rischi con cuffie/altoparlanti o infotainment.

Perché questa distinzione è importante?
Perché le contromisure cambiano: su WhatsApp serve soprattutto igiene digitale e controllo delle sessioni; su Bluetooth serve gestione delle connessioni, aggiornamenti e riduzione dell’esposizione in luoghi pubblici.

Come funziona un attacco GhostPairing su WhatsApp (passo per passo)

Questa sezione risponde ai dubbi più frequenti: “Devo scansionare un QR?”, “Serve un codice numerico?”, “Basta aprire la chat per essere colpiti?”.

1) L’innesco tipico: messaggio “credibile” e contatto fidato

Il modello più comune è questo: arriva un messaggio da un contatto reale (spesso già compromesso) o da un numero che si presenta in modo credibile. Le esche ricorrenti:

  • “Ho trovato una tua foto, guarda qui”

  • “Vota mia nipote / vota questa ballerina”

  • “È necessario verificare il tuo profilo”

  • “È successo qualcosa al tuo account”

Questa fase è quasi sempre ingegneria sociale: si cerca di farti agire in fretta, senza verifica.

2) Il link porta a una pagina fake (phishing) che “prepara” il pairing

Cliccando, si finisce su una pagina che imita servizi noti o che sembra un portale di voto/sondaggio. Qui l’utente può essere invitato a:

  • inserire il numero di telefono;

  • autorizzare un’operazione di “verifica”;

  • scansionare un QR code o inserire un codice.

Domanda tipica: “Se inserisco solo il numero, autorizzo qualcosa?”
In genere, il numero da solo non concede accesso diretto. Ma è un dato utile per “agganciare” la vittima e per costruire i passaggi successivi. Il rischio cresce quando si inseriscono codici o si autorizzano sessioni.

3) QR code o codice numerico: il momento in cui si concede l’accesso

Il cuore del GhostPairing è qui. In base alla variante, l’utente:

  • scansiona un QR che “sembra” una verifica;

  • oppure inserisce un codice numerico che viene presentato come necessario per proseguire.

In realtà, sta completando un collegamento dispositivo. Da quel momento l’attaccante può avere un accesso “fantasma” persistente.

4) “È possibile senza che io tocchi nulla?”

Di norma, il GhostPairing richiede un’azione: clic, scansione, inserimento codice, autorizzazione. Tuttavia, alcune campagne possono combinare truffe e malware: per esempio, far scaricare file o app che contengono trojan (soprattutto su Android se si installano APK esterni allo store). In questi casi si entra in un altro territorio: non solo takeover di account, ma potenziale compromissione del dispositivo.

Cosa può fare chi “ghosta” il tuo account WhatsApp

Questa parte risponde ai dubbi più “concreti”: leggono tutto? possono scrivere come me? possono truffare i miei contatti?

Lettura, monitoraggio e scaricamento contenuti

Se un dispositivo è collegato, l’attaccante può leggere conversazioni e monitorare messaggi in tempo reale. Può anche scaricare media (foto, video, documenti, note vocali) a seconda della sessione e delle impostazioni.

Impersonificazione e truffe a catena

Il rischio operativo più frequente è l’impersonificazione: l’attaccante scrive ai tuoi contatti “come se fossi tu”. È qui che il danno diventa immediato:

  • richieste di denaro (“mi serve un bonifico”, “urgente”, “ti ridò tutto”);

  • invio dello stesso link malevolo ai gruppi (reazione a catena);

  • raccolta di informazioni (lavoro, credenziali, documenti).

“Può intercettare OTP bancari o SMS?”

WhatsApp non legge gli SMS. Il rischio reale è diverso: usando il tuo account, l’attaccante può convincere i contatti a consegnare informazioni o codici, oppure usare chat e documenti per preparare frodi. L’elemento decisivo è la credibilità del mittente.

“Mi blocca fuori o continuo a usare WhatsApp?”

Spesso la vittima continua a usare WhatsApp normalmente. È proprio questo l’aspetto più subdolo: la compromissione può restare invisibile finché non arrivano segnalazioni esterne o non si controllano le sessioni.

Segnali e diagnosi: come capire se c’è un dispositivo “fantasma”

Ogni H3 che segue risponde a un dubbio specifico, ma la regola base è: non affidarti solo alle sensazioni.

Controllo principale: Dispositivi collegati

Il metodo più affidabile è verificare la sezione Dispositivi collegati. Se compare un browser, un sistema operativo o una sessione che non riconosci (Windows/Mac/Chrome, ecc.), disconnetti.

Dubbi frequenti:

  • “Come capisco se è il mio PC?”
    Confronta: orari di accesso, posizione/contesto, abitudini. Se hai dubbi, disconnetti tutto e ricollega solo i dispositivi certi.

  • “Se non vedo dispositivi strani, sono al sicuro?”
    È un segnale positivo, ma non esclude altre forme di truffa (es. codice 6 cifre, phishing, malware).

Segnali “indiretti” ma rilevanti

  • Messaggi inviati che non riconosci.

  • Contatti che ti segnalano richieste di denaro o link.

  • Chat archiviate/spostate senza motivo.

  • Inserimenti improvvisi in gruppi sospetti.

Cosa fare se pensi di essere vittima: procedura rapida e ordinata

In scenari reali (soprattutto aziendali) conta la velocità, ma anche l’ordine delle azioni.

1) Disconnetti i dispositivi sospetti (o disconnetti tutto)

Se sospetti GhostPairing: esegui il logout delle sessioni non riconosciute. Se sei incerto, disconnetti tutto e riparti da zero.

2) Attiva o modifica la verifica in due passaggi (2FA)

La 2FA con PIN non è una “garanzia assoluta”, ma riduce drasticamente l’efficacia di molte campagne di takeover. Imposta anche email di recupero.

3) Avvisa i contatti (in modo controllato)

Un messaggio breve è sufficiente: “Se ricevete link o richieste di denaro a mio nome, ignorate e chiamatemi.”
Questo interrompe la diffusione e riduce il danno reputazionale.

4) Se c’è danno economico: muoviti su canali finanziari e tutela legale

Se sono partiti bonifici o pagamenti, la priorità è bloccare/limitare. Parallelamente, valuta una segnalazione formale: in molte situazioni si configura un quadro di reati informatici con implicazioni investigative (numeri, IBAN, catena dei messaggi, link, log, ecc.).

5) Conserva evidenze

Screenshot, URL (anche solo dominio), numeri, orari, nomi dei gruppi coinvolti. Evita di “ripulire” tutto prima di aver salvato ciò che serve: le evidenze possono essere decisive.

Truffe su WhatsApp: le tipologie più comuni e i segnali che le tradiscono

Questa sezione risponde all’intento di chi cerca “truffe su WhatsApp” e vuole capire le differenze tra i vari schemi.

Truffa del codice a 6 cifre (takeover classico)

  • Che cos’è? È il codice di verifica per registrare l’account su un dispositivo.

  • È il PIN 2FA? No: sono due cose diverse.

  • Perché un contatto lo chiede “per errore”? Perché vuole ottenere l’accesso. Se lo inoltri, consegni l’account.

“Ho cambiato numero” (finto figlio/finta madre)

È una delle truffe online più redditizie perché usa pressione emotiva e urgenza. La difesa è una sola: verifica su un canale alternativo e non fornire informazioni utili (“Chi sei?” spesso aiuta il truffatore a costruire il personaggio).

Phishing via link: votazioni, coupon, premi

Il punto non è solo “cliccare”: è dove porta il click e quali dati/codici vengono richiesti dopo. Se compare una richiesta di numero, codice, QR o accesso “per proseguire”, fermati.

Truffe lavoro/“task”

Pagano poco all’inizio per costruire fiducia, poi chiedono versamenti o “sblocchi”. Se ti chiedono di pagare per lavorare o per ritirare soldi, la probabilità di truffa è altissima.

Finte assistenze (banca, corriere, piattaforme)

Una banca non chiede OTP, PIN o screenshot via WhatsApp. L’urgenza e la “procedura guidata” sono parte della manipolazione.

Allegati e file: APK, PDF, “fatture”

  • APK su Android: rischio elevato se installi da fonti non verificate.

  • PDF: di solito il rischio è minore rispetto agli APK, ma può essere usato per convincerti a cliccare link o a concedere permessi.

  • In alcuni casi, un file può essere un veicolo per installare trojan o altre componenti malevole se l’utente concede permessi o installa software non affidabile.

“Ma WhatsApp non è cifrato end-to-end?” Perché la cifratura non basta

La cifratura protegge i contenuti “in transito”, ma non ti salva se:

  • l’attaccante ottiene accesso come sessione collegata;

  • l’utente autorizza un dispositivo;

  • un takeover avviene con codice o social engineering.

Non è “rottura della crittografia”: è rottura della fiducia e del processo di autorizzazione. È un modello classico del cybercrime moderno: meno exploit, più manipolazione.

Bluetooth, auto a noleggio e ambienti BYOD: il rischio “laterale” che molti ignorano

Per molte persone “ghost pairing” richiama il Bluetooth. E in effetti, in contesti sensibili, la superficie d’attacco Bluetooth non va sottovalutata.

Stealtooth e pairing automatico

Alcuni dispositivi audio privilegiano la comodità: se non trovano il dispositivo principale, entrano in pairing. Questo può aprire finestre di rischio in ambienti pubblici o condivisi.

Attacchi HID: quando il Bluetooth “digita” al posto tuo

Un aggressore può emulare una periferica (tastiera/mouse). Se un computer accetta l’accoppiamento, l’attaccante può iniettare comandi rapidamente. In azienda, questa è una ragione concreta per policy BYOD e formazione.

Auto a noleggio e infotainment: dati residui

Rubrica, chiamate, navigazione, “Casa” e “Lavoro”, account app: se non vengono rimossi, restano nel sistema. In ottica privacy, è buona pratica cancellare profili, navigazione e — quando possibile — fare un reset.

Checklist di prevenzione (pratica e non teorica)

  1. Attiva verifica in due passaggi (2FA) su WhatsApp.

  2. Controlla regolarmente Dispositivi collegati.

  3. Diffida di link “emotivi” (foto/voti/urgenze), anche da contatti noti.

  4. Non condividere mai codici (6 cifre/OTP) con nessuno.

  5. Evita installazioni da fonti non verificate (rischio trojan).

  6. In luoghi affollati, riduci Bluetooth e pairing “al volo”.

  7. In azienda: policy, formazione anti-phishing e procedure di incident response.

FAQ essenziali (le risposte che risolvono i dubbi più cercati)

Ghost Pairing è una vulnerabilità di WhatsApp?
Nella maggior parte dei casi è ingegneria sociale: abuso dei flussi di collegamento dispositivi, non “hack” tecnico puro.

Serve per forza scansionare un QR?
No: può avvenire anche tramite codice numerico, a seconda della campagna.

Se ricevo un codice 6 cifre senza averlo richiesto, cosa significa?
Che qualcuno sta tentando una registrazione o un accesso. Non condividerlo.

Come capisco se c’è un dispositivo fantasma?
Controlla Dispositivi collegati e disconnetti ciò che non riconosci.

WhatsApp è “insicuro”?
Non necessariamente: molte frodi non violano WhatsApp, violano la fiducia dell’utente. È la logica delle moderne truffe su WhatsApp e, più in generale, delle truffe online.

Per una consulenza gratuita e senza impegno, non esitare a contattarci!
Contattaci adesso

Categorie del Blog

Articoli Correlati

Desideri ricevere le news e i contenuti esclusivi di Phersei Investigazioni?