Perché un account Facebook invia messaggi spam?

Vi sarà certamente capitato in passato e ultimamente sembra avvenire con maggiore frequenza: siete iscritti su Facebook e all’improvviso un vostro amico vi invia messaggi spam. I messaggi contengono riferimenti a siti sconvenienti, siti di incontri, offerte commerciali, facili possibilità di guadagno e così via.
Si tratta di comunicazioni che arrivano da parte di contatti su Facebook come messaggi privati o su Messenger.

I messaggi possono anche apparire nel feed di Facebook ossia nella pagina che ospita aggiornamenti di stato, foto, video, link, attività delle app e “Mi piace” di persone, Pagine e gruppi seguiti sul social network di Mark Zuckerberg.

Prendiamo come esempio questo post emblematico che circolava almeno fino a fine estate 2022:

Come si vede, un contatto presente tra gli amici di Facebook sembra aver condiviso un articolo che spiega come guadagnare con un'”invenzione” di Elon Musk. Il post sfrutta la popolarità di Musk per diffondere informazioni false e cercare di far abboccare più vittime possibile. In questo caso gli autori della campagna spam su Facebook promuovono una truffa legata al mondo delle criptovalute.

Ciò che all’apparenza può lasciare di stucco è che il messaggio sembra pubblicato da un amico, è scritto in italiano e ci sono dei commenti con la testimonianza (anch’essa falsa) dell’esperienza con il servizio (fasullo) che viene presentato. Spesso il post guadagna ulteriori commenti e “Mi piace”. Inoltre, per amplificare il più possibile la diffusione del contenuto tra i contatti Facebook vengono “taggati” amici e conoscenti (nell’esempio in figura si vede chiaramente il messaggio “è con … e altri 81“.

In alternativa, i messaggi spam possono arrivare via Messenger (abbiamo visto come usare Facebook con Messenger mediante un’unica app) oppure sotto forma di messaggi privati. Quello che segue è un esempio in inglese:

Anche sulla bacheca Facebook dei propri contatti possono iniziare a comparire messaggi “sospetti” come quello che proponiamo di seguito:

In tutti i casi l’utente che riceve il messaggio viene invitato a visitare una pagina Web esterna a Facebook e ad eseguire una serie di operazioni che metteranno in pericolo il suo account oltre che l’integrità e la riservatezza dei suoi dati.

Come avviene l’invio di messaggi indesiderati su Facebook

Perché il vostro account Facebook o quello di vostri amici ha iniziato a inviare messaggi spam a destra e manca? Come evitare questo fenomeno?

L’invio di messaggi indesiderati tramite Facebook può avvenire in seguito a varie situazioni:

– Installazione e attivazione di app e giochi Facebook. Facebook permette agli sviluppatori di realizzare componenti aggiuntivi che si integrano con gli account degli utenti. L’utente che installa app e giochi Facebook può autorizzare il componente aggiuntivo, su richiesta di quest’ultimo, a pubblicare post sulla sua bacheca o sui gruppi, a inviare messaggi, a modificare immagine del profilo, immagine di copertina e molto altro ancora.

– Se il dispositivo in uso risulta infetto. L’aggressore che riesce a far installare all’utente un componente malevolo sul suo dispositivo, può rubare le credenziali di accesso a Facebook: abbiamo visto quant’è facile trovare le password salvate sul sistema dell’utente ed estrarle da qualunque browser Web.
Il componente malevolo in esecuzione sul sistema può anche rubare il cookie di autenticazione su Facebook: in questo modo l’aggressore remoto può operare su Facebook assumendo l’identità di un altro utente senza neppure conoscere username e password. Il furto del cookie di autenticazione è una prassi diffusa, ad esempio, per accedere agli account degli utenti che avessero attivato l’autenticazione a due fattori su Facebook.
A questo proposito, vi suggeriamo di approfondire anche il concetto di EvilProxy.
Credenziali di autenticazione e cookie di Facebook vengono poi trasferiti su server remoti in modo che gli aggressori possano utilizzarli e avviare furti d’identità sul social network.

Il problema riguarda non solo i PC ma anche i dispositivi mobili: come abbiamo visto nel caso di GodFather e di altre app Android contenenti componenti malevoli, l’assegnazione di permessi speciali può portare alla sottrazione di qualunque dato, compresi credenziali e cookie di Facebook.

– Se il browser utilizza estensioni malevole i criminali informatici possono comportarsi esattamente come al punto precedente.
Quando si utilizza un qualunque browser Web è fondamentale verificare le estensioni installate ed evitare il caricamento e l’attivazione di tutti quei componenti aggiuntivi realizzati da sviluppatori sconosciuti o potenzialmente inaffidabili.
Nel caso di Chrome su PC è opportuno digitare periodicamente chrome://extensions nella barra degli indirizzi e rimuovere le estensioni che non si utilizzano.
È capitato tante volte che un’estensione legittima è poi diventata pericolosa.

Incollando l’URL di destinazione al quale fa riferimento un messaggio ricevuto da altri utenti Facebook su ScamDoc si riceve immediatamente indicazione sulla “bontà” del dominio e delle attività che vengono espletate attraverso di esso.

Se il dominio viene usato per attività di spam, se è stato registrato da poco e ha un’aspettativa di vita ridotta, se le sue pagine sono HTTPS, se i dati WHOIS dell’intestatario del dominio sono oscurati, se altri elementi risultano sospetti, allora ScamDoc mostra una valutazione pessima (percentuale inferiore al 10%).
Per leggere in maniera chiara il nome a dominio di destinazione di un link Facebook si può cliccare su di esso con il tasto destro, copiare l’URL, incollarlo nella pagina URL Decoder e cliccare su Decode.

Una volta, per sferrare un attacco sul contenuto della pagina, si chiedeva alla vittima di incollare nella barra degli indirizzi del browser del codice JavaScript, magari offuscato. Per motivi di sicurezza Chrome, Chromium e tutti i browser derivati non eseguono più da tempo codice JavaScript (inizia con javascript:) eventualmente incollato nella barra degli indirizzi.
L’utente può aggiungere manualmente il javascript: iniziale ma è ormai poco probabile che ciò avvenga.

Come bloccare l’invio di messaggi spam su Facebook

Per evitare ulteriori invii di messaggi spam tramite Facebook è possibile agire con una strategia multilivello.
In primis, è possibile controllare la cronologia degli accessi Facebook per verificare se utenti non autorizzati si fossero impossessati delle credenziali d’accesso. Se si trovassero soltanto riferimenti ai propri dispositivi e all’area geografica in cui ci si trova, allora è verosimile che nessun utente malintenzionato sia in possesso di tali dati.

Cliccando sui puntini a destra di ciascun accesso è eventualmente possibile selezionare Esci per disconnettere il dispositivo di terzi.

Il passo successivo consiste nel verificare il contenuto della pagina App e siti Web: da qui è indispensabile rimuovere tutte le app e i giochi legati al proprio account che potrebbero utilizzare permessi più o meno “delicati”.

Come succede per le estensioni del browser, anche le app Facebook potrebbero “cambiare pelle” nel corso del tempo: non appena guadagnata una sufficiente base di utenti, questi componenti aggiuntivi per il social network potrebbero iniziare a condurre attività poco trasparenti e inviare messaggi ai contatti senza che l’utente ne sia consapevole.

Utilizzando uno dei migliori antivirus è consigliabile effettuare una scansione completa dei propri dispositivi. Indipendentemente dalla soluzione per la sicurezza che si decide di utilizzare, Malwarebytes può essere utilizzato sia su PC che sui dispositivi mobili come “seconda opinione”.
Si tratta di un prodotto che non va in conflitto con nessun altro pacchetto antivirus e che in Windows può essere utilizzato da solo, accanto a Microsoft Defender. Sui dispositivi Android è in grado di segnalare app malevole e richiamare l’attenzione dell’utente su quelle che richiedono permessi troppo ampi.