Con un finto avviso di sicurezza, i truffatori rubano il profilo e trasformano il tuo nome in un’esca per altri utenti.
“Tuo account sarà bloccato, clicca qui per evitare la sospensione”: è con frasi come questa che parte la truffa Facebook più diffusa del momento, una campagna di phishing che si sta allargando in modo rapido e silenzioso, colpendo migliaia di utenti italiani. I messaggi arrivano da profili reali, ma già compromessi, e hanno un aspetto quasi ufficiale: logo, tono formale, urgenza.
Tutto sembra autentico, fino a quando non si clicca sul link e si finisce su un sito falso, creato per raccogliere password, email, codici e dati sensibili. E a quel punto il profilo è perso. I truffatori ne prendono possesso, cambiano nome e lo usano per inoltrare lo stesso messaggio a tutta la rubrica dell’utente, alimentando una catena di furti difficile da spezzare.
Profili clonati, siti fake e messaggi trappola: la rete invisibile dello scam su Facebook
Il messaggio sembra sempre lo stesso. Inizia con una comunicazione allarmante: “Il tuo account è stato segnalato, rilevate attività sospette”. Poi arriva il suggerimento “clicca qui per verificare”. Chi preme quel link viene spedito su una pagina esterna, apparentemente simile a una piattaforma Meta, ma gestita da cybercriminali. Qui viene chiesto di inserire i propri dati. Il modulo è finto, ma le informazioni immesse sono vere: l’utente regala accesso completo al suo account, senza accorgersene. Da quel momento, il profilo viene riprogrammato per diventare parte della truffa. Il nome viene cambiato in qualcosa come “Account avviso di blocco” o “Meta Sicurezza”, ma la foto resta quella originale, così da sembrare familiare a chi riceve il prossimo messaggio.
In molti casi, la vittima non si accorge subito del furto. Alcuni utenti hanno raccontato online di aver risposto al messaggio pensando fosse una comunicazione autentica da parte di Facebook, solo per scoprire poco dopo di non riuscire più ad accedere al proprio profilo. Le segnalazioni si moltiplicano, eppure il meccanismo resta in piedi. Il phishing, in questa forma, sfrutta la paura di perdere l’account, facendo leva su urgenza e confusione. Il messaggio viene percepito come reale perché arriva da un contatto conosciuto. È così che il cerchio si chiude: la vittima diventa inconsapevolmente tramite della truffa.
Anche i messaggi sono sempre più raffinati. I truffatori usano linguaggio tecnico, citano procedure di sicurezza e inseriscono riferimenti a policy ufficiali. Ma basta guardare bene il sito linkato per accorgersi che non ha nulla a che vedere con Meta: il dominio è strano, spesso registrato da poche settimane, e non ha alcuna certificazione ufficiale. Eppure, in molti non se ne accorgono. È la velocità con cui viene chiesta un’azione – cliccare, confermare, inviare – che impedisce all’utente di riflettere. E nel giro di pochi minuti, tutto è compromesso.
Come riconoscere i segnali e reagire subito se si sospetta un furto dell’account
Difendersi non è sempre semplice, soprattutto quando l’attacco parte da un profilo amico. La prima regola, però, è non cliccare mai su link che promettono di “salvare l’account”, specie se arrivano da nomi ambigui o da pagine non verificate. Meta non contatta mai gli utenti tramite messaggi diretti per avvisi di sicurezza. Ogni comunicazione ufficiale passa per il Centro assistenza o le notifiche interne. Un messaggio in chat privata con un link esterno è quasi sempre un tentativo di truffa.
Nel caso si sia già cliccato e si sospetti di essere stati compromessi, bisogna agire immediatamente. La prima mossa è cambiare la password del profilo e, se possibile, attivare l’autenticazione a due fattori, se non era già attiva. A volte però il furto è così rapido che il truffatore riesce ad accedere prima. In quel caso, va utilizzata la procedura di recupero account di Meta, segnalando l’accesso sospetto. Da fare anche la denuncia alla Polizia Postale, soprattutto se dal profilo rubato sono partite nuove truffe.
Un altro passo fondamentale è avvisare i propri contatti, informandoli della compromissione e suggerendo di non aprire link ricevuti dal profilo finché la situazione non è stata risolta. È proprio attraverso la fiducia tra contatti che questo phishing si propaga con successo. Bloccare e segnalare aiuta Facebook a disattivare i profili fake, ma spesso passano ore o giorni prima che venga fatto.
Oggi è difficile distinguere un sito vero da uno falso a colpo d’occhio, e i criminali lo sanno. Usano logo, stile grafico e nomi che imitano perfettamente quelli di Meta. E questo, unito al fatto che i messaggi arrivano da volti noti, abbassa la soglia di attenzione. Non è una questione di ingenuità, ma di meccanismo studiato per agire in fretta, prima che la vittima possa dubitare. E in quel clic, c’è tutto