“Ci dispiace informarti che il tuo account Facebook verrà chiuso in futuro. Abbiamo rilevato attività insolite sul tuo profilo Facebook, come truffe e molestie.”
Le truffe digitali evolvono e la disinformazione per difendersi da esse, anche.
La truffa del finto “Meta support” è tutt’altro che nuova: la vediamo circolare almeno da metà agosto e, nonostante i ripetuti avvisi, continua a riemergere con insistenza.
La truffa Messenger del finto Meta: come smascherarla e cosa fare se avete cliccato
A complicare la situazione, si sta generando anche parecchia confusione su come questa truffa funzioni davvero: dai PDF infetti a virus in grado di svuotare il conto in banca con un clic. Informazioni errate e fantasiose che generano ulteriori dubbi e lasciano l’utente ancora più esposto perché sprovvisto di reali strumenti di difesa.
Facciamo quindi chiarezza sugli indizi che permettono di smascherarla subito e su come questa truffa agisca davvero.
Il mittente contiene già il primo campanello d’allarme: “Meta support”, “Meta magener” (evidente storpiatura di “Meta Manager”) che non è il nome di nessun servizio ufficiale di Meta.
I nomi ufficiali che utilizza la piattaforma sono altri, meno generici e tutti certificati e soprattutto, Meta non invia comunicazioni di sicurezza tramite Messenger.
Se c’è un problema reale con il vostro account, la notifica ufficiale compare direttamente nella campanella e riporta:
“Abbiamo rilevato un accesso insolito al tuo account”
“Verifica la tua identità”
Certo, potreste ricevere anche un’e- mail; in quel caso ricordate un dettaglio semplice ma prezioso.
Meta non utilizza indirizzi che contengono numeri, simboli o sostituzioni tipiche del cosiddetto leet speak (come “M3t4_Supp0rt01”). Questo stile, molto comune nei profili falsi e nei bot, è un segnale immediato che l’indirizzo non appartiene all’azienda.
La tecnica dell’urgenza accompagnata dalla minaccia di chiusura dell’account, serve solo a una cosa: spingere l’utente a reagire d’impulso. E questa è una tecnica ben nota nel mondo del phishing: se una persona crede di avere pochissimi minuti per evitare un danno, obbedisce e clicca.
Quindi, prendetevi un minuto per riflettere: non siete chiusi in una zecca di Stato con le forze speciali pronte a detonare il vostro account, controllate bene il mittente e niente panico.
Ed eccoci dentro la parte operativa della truffa. Chiariamo subito un punto spesso frainteso: non è l’apertura del PDF a causare il danno, ma il comportamento che il PDF induce.
Chiaramente a questo punto, dovreste già aver cestinato la mail, ma ammettiamo che lo abbiate aperto: qui i soliti segnali sono un po’ più nascosti ma comunque riconoscibili. Le solite intestazioni, logo di Meta copiato e incollato, ma c’è sempre un elemento chiave che accomuna gli allegati: un link cliccabile.
Link sempre etichettato da termini come “Appeal”, “Verify”, “Review” che non contiene malware, non ruba e non modifica nulla, ma vi farà abbassare la guardia.
Ve lo ripetiamo, non apritelo.
Ma ammettiamo che, per fretta o per paura, ci abbiate cliccato sopra lo stesso. Il PDF vi porterà a un link che, una volta aperto, vi reindirizza a una pagina di accesso che sembra in tutto e per tutto la schermata ufficiale di Meta.
Colori, loghi, font: è fatta apposta per non farvi dubitare.
A questo punto compare la richiesta di effettuare il login e da qui parte il furto dei vostri dati con una procedura rapidissima che cambierà sia la vostra password, sia l’indirizzo mail di verifica che usate per accedere.
Una volta dentro, questi criminali hanno il pieno controllo del profilo e delle pagine collegate, cosa che gli consentirà di avviare inserzioni a pagamento scalando fonti dalla vostra carta collegata e usare il vostro nome e la vostra credibilità per truffare terzi.
Il tutto con un vantaggio enorme:
agli occhi di chi riceve questi messaggi, siete voi.
E questo aumenta di molto la probabilità che altri utenti cadano nella trappola.
Ma non tutto è perduto. Tirate fuori quell’urgenza che avevate prima e correte ai ripari: cambiate subito la password, attivate la verifica in due passaggi, controllate che non siano state aggiunte email sospette e rimuovete eventuali accessi sconosciuti dal vostro account.
Nessuno è immune a messaggi costruiti bene, e un clic impulsivo può capitare. I passaggi di sicurezza che abbiamo indicato aiutano nella maggior parte dei casi; per quelli più complicati servirà un po’ più di pazienza e il supporto delle procedure ufficiali, ma riconoscere la truffa è già metà del lavoro.
Ci segnalano i nostri contatti un post X che con malcelato (e francamente fuoriluogo) compiacimento descrive una giornalista Iraniana che…
Ci segnalano i nostri contatti una foto di Francesca Albanese che piange la morte dell'Ayatollah. Si tratta ovviamente di un…
Ci segnalano i nostri contatti un post social con la storia di Mehdi Taremi che vuole tornare in Iran per…
Ci segnalano i nostri contatti un post che ritrae "uno sbronzo crucco con la birra in mano che batté le…
Ci segnalano i nostri contatti un video che dovrebbe mostrare l'ambasciata americana a Riadh distrutta dai droni militari. Secondo la…
Ci segnalano i nostri contatti un video postato su X da un account "spunta blu" che dovrebbe raffigurare un islamico…