Facebook Messenger truffe (mistergadget.tech)
Negli ultimi giorni è tornata a diffondersi una campagna di phishing particolarmente insidiosa su Messenger, progettata per rubare le credenziali d’accesso agli account Facebook. A lanciare l’allarme è stato il CSIRT Italia (Computer Security Incident Response Team nazionale), che invita gli utenti alla massima prudenza.
Come funziona la truffa su Messenger
Il raggiro si presenta sotto forma di un messaggio diretto, apparentemente inviato da un profilo ufficiale di Facebook o Meta.Il testo, redatto in tono formale e con grafica coerente con quella dell’azienda, avvisa l’utente che il suo account sarebbe stato “segnalato per attività sospette” o che rischierebbe la disattivazione entro 24 ore.
Per “evitare la sospensione”, viene chiesto di cliccare su un link e “verificare i propri dati di sicurezza”.
Il messaggio è costruito con grande cura:
- Il nome del mittente contiene parole come “Security”, “Meta Verification” o “Facebook Admin”.
- L’immagine del profilo riporta il logo blu di Facebook, rendendo la comunicazione credibile a prima vista.
Cliccando sul link, la vittima viene indirizzata a un falso sito di login che replica perfettamente l’interfaccia ufficiale del social network, con loghi, colori e riferimenti a Meta. Inserendo le proprie credenziali, i dati vengono immediatamente inviati ai truffatori.
Il passo successivo: il numero di telefono
Una volta inseriti nome utente e password, la pagina chiede anche il numero di cellulare, presentandolo come parte del processo di verifica dell’identità. Dopo la conferma, l’utente viene reindirizzato al vero dominio di Facebook, un passaggio che riduce ogni sospetto e fa credere che la procedura si sia conclusa correttamente.
Nel frattempo, però, i criminali hanno già ottenuto tutte le informazioni necessarie per prendere il controllo dell’account e, in molti casi, accedere anche ad altri servizi collegati.
Perché è così pericolosa
Questa variante del phishing non è nuova, ma si dimostra più credibile e raffinata delle precedenti. I truffatori utilizzano un linguaggio burocratico e minaccioso (“la tua pagina sarà rimossa”), una grafica indistinguibile da quella originale e una forte leva psicologica basata sull’urgenza. Molti utenti, spaventati dal rischio di perdere l’account, agiscono d’impulso senza verificare la fonte del messaggio.
Come difendersi
Il CSIRT Italia suggerisce alcune regole fondamentali per evitare di cadere nella trappola:
- Non cliccare mai su link ricevuti via Messenger, email o SMS se non si è assolutamente certi della provenienza.
- Controllare sempre l’indirizzo del mittente e verificare che appartenga ai domini ufficiali “facebook.com” o “meta.com”.
- Attivare l’autenticazione a due fattori, in modo che anche in caso di furto delle credenziali l’account resti protetto.
- Segnalare i messaggi sospetti alla Polizia Postale o al CSIRT attraverso il portale ufficiale.
Le aziende, inoltre, dovrebbero promuovere sessioni periodiche di formazione sulla sicurezza digitale, sensibilizzando dipendenti e collaboratori su phishing, smishing e vishing, le varianti di questo tipo di frodi online.
Un problema in crescita
Gli esperti ricordano che oltre il 70% dei furti d’identità digitali in Italia ha origine da campagne di phishing come questa. La combinazione tra AI generativa e automazione permette oggi ai truffatori di produrre messaggi personalizzati e altamente realistici, spesso indistinguibili da comunicazioni autentiche.
La prudenza, in questo scenario, resta l’unica vera difesa: nessun canale ufficiale di Meta o Facebook invia link diretti per la verifica del profilo tramite Messenger.
