Il 15 febbraio 2026 abbiamo ricevuto su Instagram un messaggio che sembrava l’ennesima chiacchierata casuale… ma che in pochi minuti si è trasformata in uno dei tentativi di phishing più classici e pericolosi del momento.
Tutto è partito da un contatto femminile, una ragazza con un profilo apparentemente amichevole. Le prime foto del profilo erano già un campanello d’allarme:
- Immagini che non risultavano indicizzate su Google Images o TinEye (tipico di foto rubate o generate da AI)
- Scatti in un noto hotel di lusso di Dubai (quelli che girano ovunque su stock photo o account fake)
- Eppure il numero di telefono associato al profilo era olandese (+31 6 16413751) e lei sosteneva di essere in Olanda
Incongruenze evidenti già dal primo sguardo, ma la conversazione è iniziata in modo leggero e rilassato:
- “Watching TV… today relax”
- “Okay”
- “I’m in a bit of trouble. My day is going very badly today.”
- “Why?”
- “My friend has gone out for a few days. My friend has a mall account but he is unable to log in…”
Poi la richiesta “innocente”:
- “It would be very helpful if you could help me”
- “I can send you my friend’s account and password?”
- Link: http://110.173.50.170/m/login
- Username: Babydoll
- Password: 123321
- “Login and show me screenshot”
- “Login to your phone chrome browser and show me screenshot”
Perché è una truffa al 100%
- Il dominio non è Instagram 110.173.50.170 è un IP di Hong Kong (Netsec / ChinaDedicated-HK), non ha nulla a che fare con i server ufficiali di Meta.
- Nessun recupero account legittimo avviene in questo modo Instagram permette di recuperare un account tramite email, numero di telefono associato o codice di sicurezza inviato direttamente all’utente legittimo. Non serve mai che un estraneo inserisca username e password al posto suo.
- La richiesta di screenshot è il gancio finale Una volta che inseriamo le nostre credenziali sul sito falso:
- rubano immediatamente la sessione
- possono cambiare email/numero/2FA
- accedono a Facebook collegato, WhatsApp Business, ads, pagamenti, wallet crypto, foto personali, contatti… Oppure usano lo screenshot per farci installare altro (AnyDesk, estensioni malevole, “app di verifica”).
- Profilo fake costruito ad arte
- Foto non verificabili
- Localizzazione incoerente (Olanda dichiarata vs. immagini da Dubai luxury hotel)
- Approccio empatico + urgenza emotiva (“my day is going very badly”, “help me”) → tattica per abbassare le difese
Queste caratteristiche sono tipiche di account gestiti da gruppi organizzati (Nigeria, India, Est Europa, Asia) che creano centinaia di profili al giorno per pescare vittime.
Cosa fare se ci capita (o se è già capitato)
- Mai cliccare link ricevuti via DM per fare login
- Mai inserire username e password su domini che non sono esattamente instagram.com o accounts.instagram.com
- Mai condividere screenshot di sessioni attive o codici di verifica
Se abbiamo già cliccato o inserito qualcosa:
- Cambiare immediatamente password Instagram da un altro dispositivo pulito
- Attivare/riattivare 2FA con app Authenticator (non SMS)
- Andare su Impostazioni → Sicurezza → Dove hai effettuato l’accesso e terminare tutte le sessioni sconosciute
- Controllare email collegata e altri account sensibili
- Fare scansione antivirus completa (Malwarebytes, ESET, Windows Defender offline)
Segnalare il profilo: bloccarlo → segnalarlo come spam/account falso.
In conclusione
Quello che sembrava un semplice favore a una ragazza in difficoltà era in realtà un tentativo strutturato di rubare il nostro account Instagram (e tutto ciò che ci è collegato).
Nel 2026 queste truffe sono sempre più frequenti e sofisticate: sfruttano foto generate da AI, numeri virtuali, script multilingua e la naturale disponibilità delle persone a dare una mano.
Non esiste alcun caso in cui sia legittimo chiedere a un estraneo di effettuare il login su Instagram per “aiutare un amico”.
Non esiste. Punto.
Condividi se vuoi mettere in guardia qualcuno. E se ti è capitata una storia simile… scrivila nei commenti (senza dettagli sensibili).
Stay safe.
#Instagram #Phishing #TruffeOnline #CyberSecurity #SocialMediaScam #AccountHacking #FakeProfile