Un messaggio che avverte di una violazione delle policy, un dispositivo sconosciuto che ha tentato l’accesso, una richiesta urgente di verifica dell’identità. Comunicazioni che sembrano arrivare direttamente da Facebook, con loghi impeccabili e un tono di allerta che mette in guardia. Eppure, dietro quella facciata di autenticità si nasconde una delle truffe più sofisticate del momento: il phishing combinato con la tecnica BitB, Browser-in-the-Browser, che sta mietendo vittime a ritmo crescente. I ricercatori di Trellix hanno documentato un’impennata di questi attacchi, orchestrati con una precisione chirurgica per ingannare anche gli utenti più attenti. Il meccanismo è tanto semplice quanto insidioso. Tutto parte da una email che fa leva sulla paura: il tuo account rischia la sospensione permanente, qualcuno sta cercando di accedervi, oppure è stato rilevato un problema di sicurezza che richiede intervento immediato. Tre varianti dello stesso copione, tutte costruite per provocare una reazione d’impulso.
La prima email accusa l’utente di aver violato le regole del social network o il copyright con i contenuti pubblicati. Per evitare che l’account venga chiuso definitivamente, si invita a cliccare su un link per presentare ricorso. La seconda segnala un tentativo di accesso da un dispositivo non riconosciuto, chiedendo di confermare l’identità del proprietario attraverso un pulsante ben visibile. La terza versione comunica una sospensione temporanea dovuta a presunti problemi di sicurezza, con la necessità di effettuare una verifica urgente. Chi abbocca si ritrova davanti a una schermata con un CAPTCHA, apparentemente normale, seguita da quella che sembra la classica finestra pop-up di login di Facebook. Titolo, URL, grafica: tutto identico all’originale. Ma si tratta di un inganno sofisticato. Quella finestra non è un vero pop-up, bensì un iframe incorporato nella pagina web, impossibile da spostare con il mouse. È la tecnica BitB, progettata per replicare alla perfezione l’aspetto di una finestra di autenticazione legittima, sfruttando la fiducia visiva dell’utente.
Quando si inseriscono username e password in quella finta interfaccia, le credenziali finiscono dritte nelle mani dei cybercriminali. A quel punto, il controllo dell’account passa al lato oscuro. I malintenzionati possono pubblicare contenuti a nome della vittima, inviare messaggi agli amici chiedendo denaro, diffondere ulteriori truffe sfruttando la rete di contatti, accedere a informazioni personali e sensibili. Se l’account è collegato a una pagina aziendale, il danno può moltiplicarsi esponenzialmente: campagne pubblicitarie dirottate, reputazione compromessa, accesso a dati di clienti. Per aggirare i filtri di sicurezza e rendere ancora più credibile l’operazione, i truffatori si appoggiano a servizi di hosting legittimi come Netlify e Vercel, che ospitano le pagine di phishing. Questo consente alle email malevole di superare i controlli antispam e di apparire affidabili anche agli occhi degli strumenti di protezione più avanzati.
Come si fa a capire se il proprio account Facebook è già stato compromesso? Esistono segnali precisi. Il primo campanello d’allarme è l’impossibilità di accedere al profilo nonostante l’inserimento corretto delle credenziali, oppure la segnalazione ripetuta di password errata. In questi casi, è probabile che qualcuno abbia già cambiato i dati di accesso. Ma anche se l’hacker non ha ancora modificato la password, si possono rilevare attività anomale: post pubblicati a propria insaputa, commenti lasciati su pagine mai visitate, richieste di amicizia inviate automaticamente, modifiche ai dati anagrafici come nome, data di nascita, numero di telefono o indirizzo email. Facebook offre uno strumento interno per verificare gli ultimi accessi all’account. Dalla sezione Impostazioni e privacy, accedendo a Impostazioni e poi a Registro attività, si può cliccare su Sicurezza e informazioni di accesso. Qui compare l’elenco completo degli accessi recenti, con dettagli sul tipo di dispositivo utilizzato, il sistema operativo, la città e il paese da cui è avvenuta la connessione. Se tra queste informazioni compaiono dispositivi sconosciuti o posizioni geografiche mai frequentate, significa che qualcun altro sta usando il profilo. In tal caso, è fondamentale disconnettere immediatamente quella sessione e procedere al cambio della password.
Proteggere il proprio account richiede un mix di attenzione e strumenti. Mai cliccare su link presenti in email sospette, anche se sembrano provenire da Facebook. Meglio collegarsi direttamente al sito digitando l’indirizzo nella barra del browser o utilizzando l’app ufficiale. Verificare sempre l’URL completo nella barra degli indirizzi: le pagine di phishing possono avere indirizzi molto simili a quelli originali, ma con piccole variazioni difficili da notare a prima vista. Attivare l’autenticazione a due fattori è una difesa essenziale: anche se qualcuno riesce a ottenere la password, senza il codice generato dal secondo dispositivo non potrà accedere. Gli account sui social network sono ormai un’estensione dell’identità personale e professionale. Contengono conversazioni, foto, documenti, contatti, informazioni che vanno ben oltre il semplice intrattenimento. Per questo motivo sono diventati un obiettivo di prim’ordine per i criminal hacker. Non si tratta solo di perdere l’accesso a un profilo, ma di subire un furto d’identità digitale con conseguenze concrete: truffe ai danni di amici e familiari, diffusione di contenuti dannosi, estorsioni, vendita di dati personali nel dark web.
La combinazione di phishing tradizionale e tecniche avanzate come il BitB rende queste truffe particolarmente efficaci. L’interfaccia è praticamente indistinguibile dall’originale, l’urgenza del messaggio spinge a non riflettere, la fiducia nel mittente abbassa le difese. Ma conoscere il meccanismo, riconoscere i segnali e adottare misure preventive può fare la differenza tra cadere nella trappola e mantenere il controllo della propria presenza online. Controllare regolarmente il registro delle attività, prestare attenzione ai dettagli delle comunicazioni ricevute, diffidare delle richieste urgenti che richiedono azioni immediate: sono abitudini che richiedono pochi minuti ma che possono evitare conseguenze serie. La sicurezza digitale non è una questione tecnica riservata agli esperti, ma una competenza quotidiana che riguarda chiunque abbia un profilo social.”
