“Ciao, è possibile comprare questo?”, attenti al Phishing su Facebook Marketplace

Il Phishing su Facebook Marketplace funziona sempre allo stesso modo. Un metodo che conosciamo. Un messaggio privato, contenente un link che ovviamente non è facebook.com.

Nella migliore delle ipotesi un dominio alternativo (un “sito”, per spiegarci come si dovrebbe con le vittime predestinate di questi phishing) che somiglia a Facebook, contenente la sigla “FB” o simili.

Nella peggiore un sito che neppure ci somiglia. L’esito è e scontato: cliccando, anche da Facebook, si perviene ad una perfetta imitazione della pagina di accesso Facebook che richiede di inserire nomi utenti e password.

Questa volta però, senza le protezioni aggiuntive come l’autenticazione a doppio fattore che potreste aver inserito (questo, un grave campanello di allarme).

Sapete dove stiamo arrivando: si tratta di un caso di Phishing.

“Ciao, è possibile comprare questo?”, attenti al Phishing su Facebook Marketplace

Il Phishing è, ripetiamo in brevissimo qualche cenno storico, il più antico mezzo di ingegneria sociale. Il mezzo con cui, prima che Internet stesso esistesse, generazioni di male intenzionati carpivano i vostri dati e il vostro consenso simulando di essere un soggetto di cui avete la massima fiducia.

Il finto carabieniere che chiede ad un anziano di entrare dicendo di voler fare dei controlli? È Phishing. Il finto avvocato che contatta un anziano dicendo che suo nipote ha causato o avuto un gravissimo incidente stradale ed ha urgentemente bisogno di una somma di denaro per pagare le spese legali/le spese mediche/tacitare il danneggiato che vuole denunciarlo? Phishing anche quello.

Totò che cerca di vendere la Fontana di Trevi ad un turista dicendo di essere l’Ingegner Trevi suo stimatissimo proprietario? Il caso di Phishing al cinema più famoso di tutta Italia.

Il protocollo l’avrete riconosciuto: un soggetto con poca dimestichezza con alcune realtà, sovente un anziano, sovente qualcuno poco pratico di tecnologia o con limitata esposizione all’ambiente, riconosce il “marchio” come segno di fiducia.

Del resto, se il link viene da Facebook, se il soggetto indossa le mostrine o ha un tesserino dell’Ordine passa in secondo piano il fatto che sia un emerito sconosciuto che vi chiede soldi o dati personali per un vantaggio che non potete verificare.

E qui casca la fregatura.

“Ciao, è possibile comprare questo?”, attenti al Phishing su Facebook Marketplace

Noterete una cosa: i tasti “forgot password”  e “create new account” non funzionano.

Tanto non servono: lo scopo è raccogliere nome utente e password, e usarli a piacimento.

E se io ci sono caduto?

Quindi hai dato nome utente e password ad uno sconosciuto. Ovviamente, dovresti attivare l’abilitazione a doppio fattore per star sicuro, preventivamente.

In ogni caso conviene cambiare nome utente e password prima che il malintenzionato la usi, prendendo in considerazione l’idea di una denuncia alla Postale per i dati personali come carte di credito e simili.

Più altre garanzie di cui abbiamo parlato.

Se il nostro servizio ti piace sostienici su PATREON o con una donazione PAYPAL.