Febbraio, 2022

Ultimo aggiornamento: 2022/02/28 11:25.

Poche ore fa mi è arrivato su Twitter questo messaggio diretto:

L’account Feedback Team, autenticato, mi ha segnalato una violazione del copyright e mi ha detto che il mio account sarebbe stato rimosso entro 48 ore se non avessi dato spiegazioni usando il link appositamente fornito.

Per qualche secondo mi sono allarmato, perché in effetti era possibile che avessi commesso una violazione di copyright in qualche immagine che avevo postato, e l’account dal quale proveniva la segnalazione era davvero autenticato: cliccando sul bollino, infatti, compariva la normale informativa di Twitter sui motivi dell’autenticazione, che diceva che l’account dal quale mi era arrivata la segnalazione era “verificato poiché è considerato degno di nota nella categoria delle istituzioni, dell’attualità, dello spettacolo o di un altro settore specifico.”

Ma si trattava di una trappola ben costruita. Non era affatto un account tecnico di Twitter, nonostante fosse autenticato.

Il primo ingrediente di questa trappola era la psicologia. Il testo del messaggio era fatto su misura per creare ansia nel destinatario, tramite la minaccia di chiusura dell’account.

E ha funzionato. Nonostante io non sia — come dire — di primo pelo in fatto di sicurezza informatica, la mia mente non ha nemmeno fatto caso alle motivazioni dell’autenticazione: ha semplicemente registrato il fatto che l’account era autenticato. Non mi sono accorto che un account di supporto tecnico di Twitter non c’entrava nulla con “istituzioni”, “attualità” o “spettacolo”. Un esempio perfetto dei corti circuiti mentali che si instaurano quando si è agitati. I truffatori li conoscono benissimo e li sfruttano senza pietà. 

L’unico elemento che mi ha insospettito è stato il link a Google. Perché mai Twitter avrebbe dovuto appoggiarsi a Google per ospitare le pagine di richiesta di giustificazione?

Così mi sono fermato un momento a pensare e ho provato a controllare il nome dell’account del presunto Feedback Team di Twitter: non quello indicato da Twitter, ma quello presente nel link associato al messaggio: era https://twitter.com/reazlepuff. 

Decisamente non era un nome plausibile per un account tecnico di Twitter. Però era autenticato. Come era possibile che un truffatore avesse un account autenticato? 

Lo spavento preso, e la consapevolezza che la trappola ben congegnata avrebbe causato danni a tanti, mi ha fatto inviperire e quindi ho lasciato al truffatore un messaggio di risposta decisamente colorito (“F*** you, phishing ****hole”, ma senza gli asterischi). 

Me ne sarei pentito poche ore dopo.

Lo scopo della trappola era il phishing, ossia il tentativo di rubare login e password, come ho potuto constatare quando ho visitato con molta cautela (con un browser di una macchina virtuale) il link a Google indicato nel tweet del truffatore, ossia sites.google . com/view/case-02506828635-tw/ (