Negli ultimi tempi stanno aumentando le email di phishing che imitano le comunicazioni ufficiali dei social network, con l’obiettivo di spingere l’utente a cliccare su link o pulsanti e inserire le proprie credenziali. Secondo l’analisi degli esperti di Trellix, sono state individuate tre principali tipologie di messaggi, costruite per sfruttare paura, urgenza e senso di colpa, tre leve psicologiche che funzionano molto bene quando si parla di account personali. Il risultato, però, è sempre lo stesso: portare la vittima su una pagina falsa e rubare username e password, così da prendere il controllo del profilo e utilizzarlo per attività illecite.
Email di phishing “in stile Facebook”: le tre email-trappola più diffuse
La prima email punta sul timore di aver commesso un errore. Il messaggio avvisa l’utente di aver violato le regole della piattaforma o il copyright con i contenuti pubblicati. Per evitare la sospensione permanente dell’account viene richiesto di cliccare su un link e presentare ricorso. La dinamica è studiata per far agire in fretta: nessuno vuole perdere il proprio profilo, le pagine o l’accesso ai contatti, e la prospettiva di una “chiusura definitiva” spinge molti a cliccare senza verificare.
La seconda email gioca invece sull’ansia da intrusione. L’utente viene informato che è stato rilevato un tentativo di accesso da un dispositivo sconosciuto e che, per proteggere l’account, deve premere un pulsante per confermare di esserne il proprietario. Anche qui l’urgenza è la chiave: l’idea di un hacker “già dentro” riduce drasticamente la soglia di attenzione e porta a fidarsi del primo link disponibile.
La terza tipologia è ancora più aggressiva perché parte da una sospensione già avvenuta. Il messaggio invita a effettuare una verifica dell’identità: sarebbe stato rilevato un problema di sicurezza e, di conseguenza, l’account risulta temporaneamente sospeso. Per riattivarlo bisogna “verificare” i dati e ripristinare l’accesso. È una formula efficace perché trasforma l’utente in qualcuno che deve “rimediare” immediatamente, mettendolo in una posizione reattiva e vulnerabile.
Cosa succede dopo il clic: CAPTCHA falso e login finto
Se la vittima clicca su link o pulsanti, spesso viene mostrata prima una pagina con un finto CAPTCHA, cioè una schermata che simula il classico controllo “non sono un robot”. Serve a rendere la procedura credibile e a far abbassare ulteriormente la guardia. Subito dopo compare un pop-up di login apparentemente identico a quello reale del social.
Qui entra in gioco una tecnica particolarmente subdola: il pop-up non è una vera finestra del browser, ma un contenuto inserito nella pagina tramite un iframe, con titolo e URL che sembrano legittimi. Proprio perché non è una finestra reale, non si comporta come tale: non si può trascinare liberamente con il mouse, e tutto ciò che l’utente vede è progettato per imitare l’esperienza autentica. È la logica della tecnica nota come BitB, che mira a far credere di stare inserendo le credenziali in un ambiente “ufficiale” quando in realtà si è ancora dentro la pagina trappola.
Perché è difficile bloccarle: hosting su servizi legittimi
Per aggirare filtri e controlli di sicurezza, i cybercriminali non sempre usano domini palesemente sospetti o server improvvisati. In molti casi sfruttano anche piattaforme note per ospitare siti e app web, come Netlify e Vercel, così le pagine di phishing risultano più “credibili” e, soprattutto, possono bypassare alcuni sistemi automatici che si basano su reputazione del dominio o del provider.
Obiettivo: rubare credenziali e controllare l’account
Il fine è sottrarre le credenziali di login e prendere il controllo dell’account. Da quel momento i criminali possono usarlo come strumento di attacco: inviare messaggi a contatti e pagine, diffondere link truffa, impersonare la vittima, tentare frodi economiche, e in generale sfruttare la fiducia che amici e follower ripongono in quel profilo.
Come proteggersi: le regole che funzionano davvero
La prima difesa è non cliccare mai sui link presenti nelle email, soprattutto quando il messaggio spinge all’urgenza o minaccia sospensioni. Se hai dubbi, apri il social manualmente dall’app o digitando l’indirizzo nel browser, senza passare da collegamenti ricevuti.
È fondamentale anche controllare l’URL completo nella barra degli indirizzi, perché molte pagine truffa imitano graficamente il sito originale ma non possono replicare il dominio ufficiale. Infine, attivare l’autenticazione a due fattori è una misura decisiva: anche se una password dovesse finire nelle mani sbagliate, il secondo passaggio di verifica può impedire l’accesso non autorizzato.
