Il fenomeno delle truffe digitali ha assunto negli ultimi anni una dimensione sempre più pericolosa e sofisticata, soprattutto quando coinvolge piattaforme social di massa come Facebook, che per milioni di persone non è solo un luogo di svago, ma anche uno strumento di lavoro, comunicazione e gestione di attività economiche. La nuova ondata di phishing che sfrutta l’invio di email contraffatte per rubare le credenziali degli utenti Meta dimostra come i criminali informatici abbiano affinato tecniche e linguaggi fino a rendere la frode quasi indistinguibile da una comunicazione ufficiale. La cosiddetta “megatruffa su Facebook” si distingue per la capacità di combinare allarmismi psicologici, grafica credibile e un uso sapiente dell’intelligenza artificiale per creare messaggi che colpiscono l’utente quando è più vulnerabile, inducendolo a cedere informazioni fondamentali per l’accesso al proprio profilo.
Quando la mail diventa un cavallo di Troia
Il cuore della truffa è l’invio di email contraffatte che riproducono in maniera meticolosa l’aspetto grafico e testuale delle comunicazioni di sicurezza di Facebook. I truffatori simulano notifiche riguardanti accessi sospetti, violazioni delle policy, richieste di reset della password o presunte segnalazioni di contenuti illegali, spingendo il destinatario a reagire immediatamente. Ogni dettaglio, dal logo all’impaginazione, è studiato per ingannare lo sguardo, mentre i link incorporati rimandano a pagine di login false, create per raccogliere email e password.
Quando la vittima inserisce i propri dati sulla pagina contraffatta, questi vengono immediatamente trasmessi ai criminali informatici. In pochi istanti avviene la presa di controllo del profilo: viene modificata l’email di recupero, vengono cancellate o sostituite le informazioni di sicurezza e spesso viene attivata una doppia autenticazione fraudolenta per impedire al legittimo proprietario di rientrare. L’account così sottratto non serve soltanto a curiosare nella vita privata della vittima, ma diventa uno strumento per diffondere ulteriori truffe, inviare messaggi malevoli ai contatti e sfruttare le pagine collegate per lanciare campagne pubblicitarie fasulle a pagamento.
A rendere questa campagna particolarmente pericolosa è la combinazione di fattori: l’uso di testi generati o ottimizzati tramite intelligenza artificiale, che eliminano errori grammaticali o traduzioni grossolane; la capacità di sfruttare informazioni reali, come fusi orari e modelli di dispositivi, per rendere più credibile la notifica; la scelta di momenti “critici”, come orari serali o festivi, per colpire gli utenti in condizioni di minore attenzione. È un inganno che agisce più sulla psicologia che sulla tecnologia, sfruttando la paura di perdere il proprio profilo o le proprie attività online.
Segnali e indizi per smascherare il phishing
Un primo livello di difesa consiste nel controllare attentamente l’indirizzo del mittente: spesso i truffatori utilizzano domini che sembrano simili a quelli di Facebook, ma che nascondono piccole differenze, come lettere invertite o estensioni insolite. Passando il cursore sul link contenuto nel messaggio, è possibile leggere l’URL reale: se non termina con “facebook.com” o “meta.com”, il rischio di trovarsi davanti a una frode è altissimo.
Anche quando la grafica appare identica a quella ufficiale, ci sono segnali che possono insospettire: richieste esplicite di inserire la password direttamente nella mail, toni eccessivamente allarmistici o minacce di sospensione immediata dell’account sono tutti elementi che Meta non utilizza nei suoi canali ufficiali. Un altro controllo utile è quello della sezione interna “Email da Facebook” nelle impostazioni del profilo, che permette di verificare quali comunicazioni sono state realmente inviate dalla piattaforma.
Ottenere le credenziali di un profilo Facebook non significa solo rubare foto o messaggi: per i criminali, l’account ha un valore economico diretto. Può essere rivenduto nel dark web, utilizzato per lanciare altre campagne di phishing, impiegato per frodi finanziarie attraverso i metodi di pagamento collegati o sfruttato per gestire in modo fraudolento inserzioni pubblicitarie. La portata della truffa, quindi, non si limita al danno individuale ma diventa un problema di sicurezza collettiva.
Cosa fare prima, durante e dopo
Il modo più efficace per difendersi è investire sulla prevenzione: attivare l’autenticazione a due fattori, preferibilmente con un’app dedicata piuttosto che via SMS, utilizzare password robuste e uniche per ogni servizio, ed eventualmente adottare le passkey già supportate da Meta, che eliminano la necessità di ricordare password tradizionali. È importante inoltre abituarsi a non cliccare mai direttamente sui link nelle email sospette, ma accedere all’account tramite l’app ufficiale o il sito digitato manualmente.
Se si cade nel tranello e si inseriscono le credenziali in una pagina fasulla, occorre agire immediatamente: cambiare la password dal sito ufficiale di Facebook, disconnettere tutte le sessioni attive, aggiornare i contatti di recupero e verificare che non siano state aggiunte email o numeri sospetti. Nel caso in cui l’accesso sia già stato sottratto, bisogna seguire la procedura guidata di recupero prevista da Meta e fornire i documenti richiesti per dimostrare la propria identità.
Un account compromesso non è solo un problema di accesso: è fondamentale controllare che non siano state lanciate inserzioni pubblicitarie non autorizzate, rimuovere eventuali app collegate, verificare i metodi di pagamento e, soprattutto, effettuare una scansione completa dei dispositivi utilizzati per l’accesso, nel caso in cui siano stati infettati da malware. Bisogna anche ricordarsi di cambiare le password di tutti i servizi collegati allo stesso indirizzo email, perché il rischio di utilizzo fraudolento si estende a tutta la sfera digitale dell’utente.
