Su Threads si è consolidata una forma di spam tanto riconoscibile quanto difficile da bloccare: account che rispondono a post popolari con frasi senza senso e screenshot sgranati di un falso articolo su MrBeast. Dietro quella ripetizione apparentemente caotica, l’analisi del ricercatore di sicurezza Zach Edwards di Infoblox collega la campagna a una rete di oltre 10.000 siti malevoli presentati come crypto casino.
Il meccanismo è sempre simile. Un profilo pubblica una risposta sotto un contenuto molto visto, aggiunge una frase surreale e allega un’immagine a bassa risoluzione che imita la pagina di un giornale britannico. Nel falso testo, il creator viene associato a un presunto nuovo progetto o a una promozione con denaro in regalo. In alcuni casi compare anche una seconda immagine casuale, per esempio un mazzo di fiori accanto a un iPhone, elemento che rende il post ancora meno simile a una classica truffa finanziaria.
La scelta di non inserire link evidenti nel testo è parte centrale della tecnica. Il dominio compare dentro lo screenshot, spesso in modo poco visibile, e l’utente deve ingrandire l’immagine per leggerlo. Edwards interpreta questo schema come un modo per rendere più difficile l’intervento dei sistemi di moderazione di Meta: quando l’indirizzo non è pubblicato come testo cliccabile, i filtri automatici possono avere più difficoltà a identificarlo e bloccarlo.
Il comportamento degli account sembra anche calibrato sulle dinamiche di distribuzione della piattaforma. Meta ha dichiarato che metà delle visualizzazioni su Threads arriva dalle risposte, e rispondere a post popolari è quindi una strada diretta per ottenere visibilità. Gli screenshot confusi e le frasi nonsense possono trattenere l’attenzione per qualche secondo in più, spingendo gli utenti a fermarsi, aprire l’immagine e cercare di capire il messaggio. In un ambiente dominato da segnali algoritmici, anche questa micro-interazione può diventare parte della strategia.
Per Edwards, la rete funziona come un enorme laboratorio di A/B testing: variazioni dello stesso contenuto vengono pubblicate per capire quali combinazioni riescano a passare i controlli e a generare più esposizione. Mark Beare, responsabile consumer della piattaforma di rilevamento truffe Malwarebytes, osserva che gli attori malevoli cercano di alimentare l’algoritmo della singola piattaforma, adattando tattiche e formato al contesto. La fissazione su MrBeast non sorprende: Beare lo indica come una delle figure pubbliche più usate nelle truffe online, più citata di altri nomi ricorrenti come Elon Musk.
I siti collegati alla campagna puntano a truffe di deposito relativamente semplici. Promettono bonus di iscrizione, premi gratuiti o crediti promozionali, poi presentano slot machine online e giochi essenziali. L’utente viene portato a credere di poter prelevare o depositare fondi in qualunque momento, ma il passaggio cruciale è la richiesta di dati sensibili: numero di carta di credito, indirizzo di wallet o collegamento a un portafoglio crypto.
Un esempio descritto da Edwards segue una sequenza tipica: dopo l’inserimento di un presunto codice promozionale legato allo spam su MrBeast, il sito comunica una vincita in una promozione da 10 milioni di dollari e attribuisce all’utente un premio di 3.000 dollari. Per sbloccare la somma, chiede un wallet o una carta. La logica non è quella di una truffa lunga e costruita nel tempo, ma di una monetizzazione rapida: promettere ritorni falsi, spingere al deposito, ottenere credenziali o strumenti di pagamento.
La reale quantità di vittime resta incerta. Molti dei domini analizzati registrano poco traffico, ma su Threads alcuni account che pubblicano spam su MrBeast hanno sfiorato quasi un milione di visualizzazioni negli ultimi 30 giorni in base alle metriche pubbliche della piattaforma. Alcuni profili sembrano account normali compromessi, altri sono account recenti costruiti quasi solo per promuovere i casino. La campagna mostra come, nella moderazione delle piattaforme social, il problema non sia soltanto rimuovere link malevoli, ma riconoscere contenuti ibridi progettati per essere leggibili dagli utenti e opachi per i sistemi automatici.