La truffa della spunta blu e del “controllo di routine”
Una mail che finge di arrivare da Meta ma in realtà cerca di rubare le credenziali delle nostre pagine (possibilmente Business)
Il 3 aprile sulla mia mail di lavoro arriva un messaggio, in inglese, che recita:
Your page XXXXX YYYYYY showed up in a routine check.
See details:
https://forms.gle/m18YqgAXWpnWtnuB7?m=271140&s=EOPH4BL It’s a quick check and should only take a moment.
Everything will stay the same after that.
Feel free to reply if needed.
Best regards,
Meta Verification Team
Ref: 271140
Time: 4/3/2026, 5:31:24 AM
Cliccando sul link mi viene comunicato che Meta avrebbe deciso che la mia pagina business merita il blue badge di verifica:
Andando avanti a cliccare mi ritrovo su quella che sembra la pagina ufficiale di Meta Verified (ma, come vedremo tra poco, non lo è):
Poi mi vengono chiesti i miei dati:
E infine la cosa più importante, i dati d’accesso alla mia pagina:
E signori e signore: le jeux sont faites, ecco come farsi fregare la propria identità business.
Purtroppo sono ancora tanti gli utenti che cascano in questi trucchetti, utenti a cui nessuno ha insegnato l’ABC della fregatura online, utenti che magari gestiscono attività imprenditoriali che possono subire grossi danni da questo genere di furto d’identità.
Proprio per questo vorrei evidenziare i tanti dettagli a cui stare attenti per cercare di proteggersi da questo genere di truffe.
L’indirizzo del mittente
La primissima cosa a cui fare attenzione è l’indirizzo mail, quello reale, del mittente. Meta non ti scrive da:
@gmail.com@outlook.com@random-domain-verifica.biz
Meta usa domini ufficiali tipo:
@meta.com@facebook.com
Se il mittente è anche solo vagamente creativo, tipo meta-support-check-verified123, siamo già nel campo del ciao, sono un truffatore. Il nome del mittente non conta nulla. Conta SOLO il dominio. Nel caso della mail arrivata a me questo era l’indirizzo mail del mittente: vanhoavuong37@gmail.com, non particolarmente professionale.
Il link del dominio
Qui siamo proprio alla pigrizia operativa, un colosso come Meta che gestisce miliardi, ha infrastrutture proprie, ma ti chiede di verificarti… tramite Google Forms. È evidente che c’è qualcosa che non va, è come se la banca ti dicesse: Per sicurezza, inserisci la password di accesso su un foglio Excel condiviso.
Lo spoofing
Purtroppo esiste questa cosa chiamata spoofing che i truffatori sfruttano per sembrare quel che non è. In pratica, grazie a semplici trucchetti, possono darci a intendere che la mail del mittente – esattamente come succede con i numeri di telefono – sembri qualcosa del tipo Meta Verification Team, senza che ci venga mostrato fin da subito il reale indirizzo, oppure con un dominio tipo meta.com-go.to. Il punto è che quello che visualizziamo nella casella di posta come mittente è solo un’etichetta, un nome deciso da chi invia la mail. Non è una garanzia, non è una certificazione, non è niente di affidabile. Il vero mittente è l’indirizzo completo, e soprattutto il dominio, la parte finale, quella dopo la @.
Il trucco sta tutto lì: farci leggere solo la prima parte e sperare che il nostro cervello si fermi prima del punto giusto. Purtroppo spesso funziona, perché leggiamo di fretta, siamo distratti, oppure ci fidiamo troppo del nome visualizzato. È esattamente su questo che puntano: non sulla tecnologia, ma sulla nostra attenzione che dura quanto un reel: troppo poco.
Per difendersi non serve essere tecnici, basta diventare un minimo sospettosi: controllare sempre il dominio reale, ignorare il nome rassicurante del mittente e ricordarsi che nessuna piattaforma seria chiederà mai credenziali attraverso link esterni o form improvvisati.
Lo spoofing non è sofisticato. È solo abbastanza furbo da sfruttare il fatto che noi, a volte, non lo siamo.
Concludendo
Questa non è una truffa particolarmente complessa. Il fatto che ancora oggi ci siano persone (e aziende) che ci cascano dimostra da un lato la scarsa cultura digitale nel nostro Paese, dall’altro lato è la prova che la fretta e l’assenza di quello spirito critico che ci porta a farci domande e porre dubbi sono fonte di pericoli.
Il problema non è chi ci casca – che resta una vittima che andrebbe tutelata -, il problema è che nessuno gli ha mai spiegato come non cascarci.
redazione at butac punto it
Se ti è piaciuto l’articolo, sostienici su Patreon o su PayPal! Può bastare anche il costo di un caffè!
Un altro modo per sostenerci è acquistare uno dei libri consigliati sulla nostra pagina Amazon, la trovi qui.
BUTAC vi aspetta anche su Telegram con il canale con tutti gli aggiornamenti.
No, non è BUTAC a cercare collaboratori – specie visto quanto sarebbe la paga oraria che viene proposta dall’annuncio che ci avete segnalato, questo: Salve, sono Nakisa, project manager di Hand made. Cerchiamo 15 collaboratori 55EUR/h. Contatto via Whatsapp: https:/wa.me/393508573007 Curioso che se apro WhatsApp e cerco l’account associato a quel numero, invece di Nakisa, […]
Partiamo con una premessa, perché lo so già che questo articolo farà storcere il naso a qualcuno. Chi segue un coach ed è convinto della sua competenza probabilmente si sentirà chiamato in causa, e non è nostra intenzione. Quello che segue è volutamente generalizzato, come spesso siamo costretti a fare per evidenti ragioni legali, ma […]
Ormai siamo abituati ai deepfake di varo genere, e BUTAC ci ha abituato a non sorprenderci, ma ammetto che quella di oggi è una “prima volta”. La segnalazione che abbiamo ricevuto su WhatsApp è questa: Buonasera, vengono condivisi su Facebook dei video di un noto cardinale che parla di ricette miracolose per la vista, ma […]
Le app che promettono di mostrarvi chi visita i vostri profili ultimamente sembrano moltiplicarsi, ma davvero possono fare quello che promettono? No, e purtroppo spesso invece fanno l’esatto opposto: invece di aiutarvi, vi fregano. Innanzitutto è essenziale tenre in considerazione che le piattaforme online come Instagram o Facebook non hanno alcun interesse a cedere questo […]