Phishing su Instagram e WhatsApp: guida pratica alla truffa del “reset password” e della “ballerina”

Due truffe stanno girando veloci tra feed e chat: l’email “Reset della password di Instagram” e il messaggio WhatsApp della “ballerina da votare”. Sembrano ingenue, in realtà sono trappole costruite per rubare credenziali e prendere il controllo degli account. Qui scopri come funzionano, i segnali per riconoscerle e cosa fare subito se hai cliccato. Condividi questo articolo con chi è meno pratico: può davvero evitare un disastro digitale.

Cosa sta succedendo: due campagne di phishing che corrono veloci

Il meccanismo è sempre lo stesso: urgenza, link, pagina finta, richiesta dati. Il phishing oggi non punta solo ai “distratti”: sfrutta template credibili, domini simili agli originali e perfino contatti della tua rubrica per abbassare le difese. Nel mirino ci sono i nostri account social e di messaggistica, perché valgono molto sul mercato nero: accesso alle conversazioni, rubrica, profilo pubblico, e la possibilità di diffondere la truffa ad altri contatti in catena.

La truffa “Reset password Instagram”

Come si presenta

Arriva un’email con mittente che sembra ufficiale (es. “security@mail.instagram.com”), loghi Meta/Instagram ben piazzati e un testo secco: “Abbiamo ricevuto una richiesta di reimpostazione della password. Clicca su Reset”. Il pulsante apre una pagina clone dove ti chiedono password attuale e nuova. Inserendole, consegni le credenziali ai truffatori, che possono rivendere i dati o accedere al tuo profilo. Secondo Wired, Instagram ha anche risolto di recente un problema che permetteva a soggetti esterni di far partire email di reset per alcuni utenti: un ulteriore assist ai criminali, almeno temporaneamente.

Perché la truffa convince (e come smascherarla)

  • Urgenza e unicità dell’azione: un solo pulsante, “Reset”, senza alternative.
  • Mittente e dominio: il nome può sembrare giusto, ma controlla il dominio reale dopo la @ e, soprattutto, l’URL del link. Anche una differenza minima è un campanello d’allarme.
  • Richiesta della password attuale: Instagram non te la chiede mai in chiaro su pagine esterne.
  • Contenuto generico: niente riferimenti al tuo username, localizzazione, o device usato.
  • HTTPS non valido o certificato strano: se il lucchetto o il certificato non sono ok, chiudi.

Cosa fare subito se hai cliccato

  • Cambia password dall’app o dal sito ufficiale di Instagram (non dal link dell’email).
  • Abilita l’autenticazione a due fattori (meglio con un’app di autenticazione, non solo via SMS).
  • Revoca le sessioni: Impostazioni > Sicurezza > Attività di accesso, e disconnetti i dispositivi sospetti.
  • Controlla le app collegate e rimuovi le integrazioni che non riconosci.
  • Se hai riutilizzato la stessa password altrove, cambiala anche lì. È bene avere password uniche per ogni servizio.

Come blindare l’account Instagram

  • Password lunga e unica (almeno 12 caratteri con lettere, numeri e simboli).
  • 2FA con app (Google Authenticator, Authy, ecc.) e salvataggio dei codici di backup.
  • Attiva gli avvisi di accesso e verifica periodicamente l’attività sospetta.
  • Diffida di link via email o DM: entra in Instagram digitando l’indirizzo a mano, non tramite link.

La “truffa della ballerina” su WhatsApp

Come funziona

Ricevi un messaggio da un contatto reale (amico, parente, collega). C’è la foto di una bambina o di una ragazza in abiti da danza e la richiesta di votarla per un concorso o una borsa di studio. Il link porta a un sito che chiede le tue credenziali o, peggio, il codice a 6 cifre arrivato via SMS. Se consegni quel codice, i truffatori possono prendere il controllo del tuo WhatsApp, inviare messaggi ai tuoi contatti e replicare la truffa a catena. In alcune varianti ti chiedono anche di scansionare un QR: stesso risultato.

Perché la truffa circola così bene

  • Autorità sociale: arriva da qualcuno che conosci, quindi abbassi la guardia.
  • Emotività: bambina, concorso, aiuto urgente. Trigger perfetto per il “clicca subito”.
  • Velocità: pochi tap e sei già nella pagina fasulla che “sembra” legittima.
  • Propagazione: una volta preso un account, i messaggi partono in massa ai contatti.

Segnali e contromisure immediate

  • Nessuno ti chiede il codice WhatsApp: quel codice serve solo a te per accedere.
  • Verifica fuori chat: chiama il contatto o invia un vocale prima di cliccare.
  • Attiva la verifica in due passaggi su WhatsApp (PIN a 6 cifre): Impostazioni > Account > Verifica in due passaggi.
  • Evita link accorciati e domini sospetti. Se proprio devi, aprili da un browser desktop isolato e senza inserire dati.
  • Blocca e segnala messaggi sospetti, anche se arrivano da contatti noti (il loro account potrebbe essere compromesso).

Se ti hanno rubato WhatsApp

  • Disinstalla e reinstalla WhatsApp, inserisci il tuo numero e richiedi un nuovo codice. Nella maggior parte dei casi, rientri tu e l’altro esce.
  • Imposta subito il PIN della verifica in due passaggi e aggiorna l’email di recupero.
  • Avvisa i tuoi contatti che eventuali messaggi ricevuti da te erano truffe.
  • Se non riesci a rientrare, usa il Centro assistenza in-app o via web e segui la procedura ufficiale di recupero account.

Phishing: le regole d’oro (da girare ai familiari)

  • Diffida dell’urgenza: se è “subito”, è sospetto.
  • Non cliccare dai messaggi: apri le app manualmente e verifica da lì.
  • Mai dare codici via SMS/WhatsApp a nessuno, nemmeno a “amici”.
  • Controlla i domini: una lettera diversa può fregarti.
  • 2FA sempre attiva con app di autenticazione.
  • Password uniche e gestore di password per non riutilizzarle.
  • Aggiorna sistemi e app per chiudere falle note.
  • Fatti aiutare: in caso di dubbio, chiedi a qualcuno più esperto prima di toccare link o inserire dati.
  • Educa i gruppi di famiglia: più persone informate, meno account bucati.
  • Segnala e cancella i messaggi sospetti. La prudenza non è mai troppa.

Contesto e fonti

Le campagne di phishing evolvono sfruttando brand e flussi reali. Il caso del reset password di Instagram è spiegato anche da Wired, che segnala come un problema gestito da Instagram abbia reso più credibili le email di reset in questo periodo. La truffa della ballerina su WhatsApp non è nuova, ma oggi gira con varianti ben confezionate per convincere anche utenti esperti.

Vuoi restare aggiornato e proteggere chi ami?

  • Iscriviti alla newsletter de Il Caffettino per ricevere ogni mattina l’approfondimento.
  • Condividi questo articolo nei gruppi di famiglia e lavoro: prevenire è più semplice che recuperare un account rubato.

Conclusione

Le truffe cambiano abito, non strategia: urgenza, link, furto credenziali. Con un minimo di disciplina si evitano quasi sempre. 👉 Per scoprire tutti i dettagli e l’opinione personale di Mario Moroni, ascolta la puntata completa su Spotify.