“Ci ho messo circa tre ore a farlo”: lo strano spam nei messaggi diretti su Instagram

Ultimo aggiornamento: 2022/01/31 21:45.

Stamattina, durante una lezione a scuola a Canobbio (Canton Ticino), diversi studenti mi hanno segnalato di aver ricevuto tramite un social network (non hanno precisato quale) un messaggio privato come quello mostrato qui accanto: un invito a cliccare su un link, preceduto dalla frase “Ci ho messo circa tre ore a farlo. Spero proprio che ti piaccia” (in originale: “This took me about 3 hours to make. I really hope you like it”).

Poco dopo mi è arrivata la stessa segnalazione da un’altra fonte di famiglia.

Il link è giftshop7062 punto buzz. Dopo lo slash c’è il nome Instagram dell’utente che l’ha ricevuto. Per ora sembra essere un semplice redirect alla pagina di login di Instagram, secondo Wheregoes.

La cosa strana è che il messaggio diretto su Instagram che contiene questo invito arriva da un contatto del destinatario, come se l’account del contatto fosse infetto. Avete idee di cosa sia?

Secondo questo post sarebbe una truffa che circola da alcuni mesi, ma non mi è chiaro come funzioni. Se ne sapete di più, i commenti sono a vostra disposizione.

---

Aggiornamento: Stando alle vostre segnalazioni e a quello che ho trovato online, questo testo circola già da tempo (almeno da luglio-agosto 2021), appunto, ma legato a link differenti. Lo schema dovrebbe essere quello di un classico phishing: nelle versioni che ho visto in giro, il link porta a una falsa pagina di login che imita quella di Instagram. Ecco un esempio tratto da questo video a 3m35s:

Se la vittima immette le proprie credenziali nella falsa pagina di login, le regala ai truffatori, che prendono il controllo dell’account Instagram della vittima e lo usano per mandare automaticamente lo stesso invito-trappola a tutti i contatti presenti nella rubrica Instagram della vittima. Quei contatti ricevono l’invito in apparenza da qualcuno che conoscono e quindi tendono a fidarsi; la curiosità di vedere di cosa si tratta fa abbassare ulteriormente la guardia.

Il mio primo consiglio pratico è non cliccare sul link. Se l’avete fatto e avete digitato le vostre credenziali, cambiate password. Se avete usato la stessa password altrove, cambiatela anche lì.

Se vi siete protetti preventivamente con l’autenticazione a due fattori, come raccomando di fare da anni, non perderete il controllo del vostro account.

Il secondo consiglio è non bloccare il mittente, perché probabilmente non ha colpa ed è una vittima come voi.

Il terzo e ultimo consiglio è contattare a voce il mittente e avvisarlo che sta mandando in giro link-trappola, perché magari non se ne è reso ancora conto.