Come Funzionano gli Strumenti Grey-Hat per Facebook: Token, Cookie e RPA

Gli strumenti grey-hat per Facebook non sono magia. Sfruttano tre meccanismi tecnici specifici per controllare gli account pubblicitari Facebook al di fuori del framework di autorizzazione ufficiale di Meta. Comprendere come funzionano gli strumenti grey hat facebook a livello tecnico è essenziale per qualsiasi media buyer — che tu li usi, competa contro persone che li usano, o debba valutare le implicazioni di sicurezza per i tuoi account.

Questo è un approfondimento tecnico. Copriremo i meccanismi esatti, i flussi di dati e i vettori di rilevamento per ogni metodo. Nessun commento morale — solo realtà ingegneristica.

I Tre Pilastri dell'Accesso Grey-Hat

Ogni strumento pubblicitario grey-hat per Facebook si basa su uno o più di questi tre metodi di accesso:

1. Estrazione e abuso di token — Uso di token EAAB per chiamare la Marketing API di Facebook senza autorizzazione OAuth ufficiale
2. Iniezione di cookie — Importazione di cookie di sessione per dirottare sessioni browser autenticate
3. RPA (Robotic Process Automation) — Controllo dell'interfaccia web di Facebook attraverso azioni browser automatizzate

Alcuni strumenti usano un singolo metodo. I più sofisticati combinano tutti e tre. Esaminiamo ciascuno in dettaglio.

Pilastro 1: Token EAAB

Cosa Sono i Token EAAB

Quando accedi a Facebook e usi Ads Manager, la tua sessione browser genera token di accesso che autorizzano le richieste API. Il più prezioso è il token EAAB (Extended Access) — un token a lunga durata che inizia con la stringa letterale "EAAB" seguita da un payload codificato in base64.

Un token EAAB codifica:

• L'ID utente dell'utente Facebook autenticato
• L'ID app dell'applicazione che ha generato il token (di solito l'app Ads Manager di Facebook stessa)
• Gli scope dei permessi — cosa il token è autorizzato a fare (ads_management, ads_read, business_management, ecc.)
• Un timestamp di scadenza — tipicamente 60-90 giorni per i token a lunga durata
• Una firma crittografica che Meta valida ad ogni chiamata API

Con un token EAAB valido, puoi effettuare le stesse chiamate API che fa l'Ads Manager di Facebook. Creare campagne, modificare budget, caricare creatività, estrarre insight, gestire metodi di pagamento — tutto.

Come Vengono Estratti i Token

Metodo 1: Estrazione tramite Estensione Chrome

Il metodo di estrazione più comune utilizza estensioni Chrome che intercettano le richieste di rete nel browser. Quando apri Ads Manager, il browser effettua chiamate API a graph.facebook.com con il token EAAB nell'header Authorization o come parametro URL.

Un'estensione Chrome con permessi webRequest può intercettare queste richieste ed estrarre il token. Il flusso:

Utente apre Ads Manager → Il browser effettua la chiamata API → L'estensione intercetta la richiesta →
Token estratto dall'header/URL → Memorizzato localmente o inviato a server esterno

Estensioni come "Facebook Token Extractor" (vari nomi, frequentemente rimosse dal Chrome Web Store) automatizzano questo processo. Alcuni strumenti grey-hat includono le proprie estensioni brandizzate.

Metodo 2: Conversione Cookie-to-Token

I cookie di sessione di Facebook possono essere utilizzati per generare token programmaticamente. Il processo:

1. Estrarre i cookie c_user e xs da una sessione autenticata
2. Effettuare una richiesta all'endpoint OAuth di Facebook usando quei cookie come autenticazione
3. Richiedere la generazione del token per l'ID app di Ads Manager
4. Ricevere un token EAAB fresco

Questo metodo è il modo in cui gli strumenti che lavorano con importazioni di cookie (vedi Pilastro 2) convertono l'accesso di sessione in accesso API.

Metodo 3: Abuso OAuth

Alcuni strumenti si registrano come applicazioni sviluppatore Facebook legittime, poi abusano del flusso OAuth per richiedere permessi eccessivi. L'utente autorizza l'app pensando sia uno strumento legittimo, e l'app memorizza e usa il token per scopi non autorizzati.

Questo è diventato meno praticabile poiché Meta ha ristretto i processi di revisione delle app, ma esistono ancora app legacy con permessi estesi.

Come gli Strumenti Usano i Token

Una volta estratto, il token viene usato per effettuare chiamate API dirette alla Marketing API di Facebook:

Creazione Campagna:

POST /act_{ad_account_id}/campaigns
Authorization: Bearer EAAB...
Content-Type: application/json

{
  "name": "Nome Campagna",
  "objective": "OUTCOME_SALES",
  "status": "ACTIVE",
  "special_ad_categories": []
}

Creazione Ad Set:

POST /act_{ad_account_id}/adsets
Authorization: Bearer EAAB...

{
  "campaign_id": "123456",
  "name": "Nome Ad Set",
  "targeting": { ... },
  "billing_event": "IMPRESSIONS",
  "bid_amount": 1000,
  "daily_budget": 5000
}

Caricamento Creatività:

POST /act_{ad_account_id}/adcreatives
Authorization: Bearer EAAB...

{
  "name": "Nome Creatività",
  "object_story_spec": { ... }
}

Le chiamate API sono identiche a quelle degli strumenti legittimi. La differenza è il percorso di autorizzazione — gli strumenti legittimi hanno ottenuto il token attraverso il flusso OAuth ufficiale di Facebook con consenso dell'utente e revisione dell'app. Gli strumenti grey-hat lo hanno estratto da una sessione browser.

Durata e Rotazione dei Token

I token EAAB hanno una scadenza integrata, tipicamente 60-90 giorni. Tuttavia, diversi fattori possono invalidare un token prima:

• Cambio password — Tutti i token dell'account vengono immediatamente invalidati
• Checkpoint di sicurezza — I sistemi di sicurezza di Facebook possono invalidare i token quando viene rilevata attività sospetta
• Terminazione sessione — Disconnettersi da tutte le sessioni invalida i token associati
• Deautorizzazione app — Rimuovere i permessi di un'app invalida i token emessi per quell'app

Gli strumenti grey-hat gestiscono la scadenza dei token attraverso:

• Re-estrazione automatica — Estensioni Chrome in esecuzione in background estraggono continuamente token freschi
• Endpoint di refresh dei token — Alcuni strumenti usano endpoint Facebook non documentati per estendere la durata dei token
• Fallback sui cookie — Quando un token scade, lo strumento ricade sull'accesso basato su cookie per generare un nuovo token

Segnali di Rilevamento per l'Abuso di Token

Meta rileva l'uso non autorizzato di token attraverso diversi segnali:

1. Mismatch ID app — I token generati dalle app di Facebook stessa (Ads Manager, Business Suite) portano ID app specifici. Meta può rilevare quando questi token vengono usati da origini impreviste
2. Analisi dei pattern di richieste — Gli utenti umani di Ads Manager creano una campagna alla volta con pause. Gli strumenti ne creano decine in rapida successione
3. Correlazione IP — Il token è stato generato da un IP (il browser dell'utente) ma le chiamate API arrivano da un altro IP (il server dello strumento)
4. Contesto browser mancante — Le chiamate API legittime di Ads Manager includono header del browser, pattern di temporizzazione e connessioni web socket associate. Le chiamate API dirette dagli strumenti mancano di questo contesto
5. Anomalie di volume — Creare 50 campagne su 50 account in 5 minuti da una singola firma applicativa

Pilastro 2: Iniezione di Cookie

I Cookie Rilevanti

Quando accedi a Facebook, il browser riceve diversi cookie di autenticazione. I due critici:

c_user — Contiene l'ID numerico dell'utente Facebook. Indica a Facebook a quale account appartiene la sessione.

xs — Il token di sessione. Questa è la credenziale di autenticazione vera e propria. È una stringa codificata complessa che include metadati della sessione e una firma crittografica.

Insieme, questi due cookie costituiscono una sessione Facebook completa. Qualsiasi browser che presenti questi cookie a facebook.com sarà riconosciuto come l'utente connesso — nessuna password necessaria.

Cookie aggiuntivi rilevanti:

• fr — Il cookie di tracciamento cross-site di Facebook
• datr — Cookie di identificazione del browser (persiste tra le sessioni)
• sb — Identificazione del browser, simile a datr
• presence — Indicatore di presenza per chat/messaggistica

Come Funziona l'Iniezione di Cookie

Il processo di iniezione:

1. Esportazione: I cookie vengono estratti dalla sessione browser di origine. Questo può essere fatto tramite gli strumenti di sviluppo del browser, estensioni o accesso programmatico al cookie store. L'output è tipicamente in formato cookie Netscape o JSON:

{
  "name": "c_user",
  "value": "100012345678",
  "domain": ".facebook.com",
  "path": "/",
  "httpOnly": true,
  "secure": true,
  "sameSite": "None",
  "expirationDate": 1742515200
}

2. Trasferimento: I dati dei cookie vengono spostati nell'ambiente di destinazione — un profilo browser anti-detect, il database degli account di uno strumento o un repository di team condiviso.

3. Importazione: Il browser ricevente carica i cookie nel suo cookie store per il dominio facebook.com. Questo viene tipicamente fatto prima di navigare su Facebook, in modo che il primo caricamento della pagina sia già autenticato.

4. Validazione della Sessione: Il browser naviga su facebook.com. I server di Facebook validano i cookie e servono l'esperienza utente autenticata.

Perché l'Iniezione di Cookie è Popolare

L'iniezione di cookie serve a diversi scopi nell'ecosistema grey-hat:

Gestione Account Senza Password: I media buyer che acquistano account dai marketplace ricevono cookie, non password. La password originale potrebbe essere sconosciuta o cambiata. L'iniezione di cookie è l'unico modo per accedere a questi account.

Operazioni Multi-Account: Gestire 50+ account Facebook richiederebbe 50+ combinazioni email/password. I cookie sono più portabili — incolla una stringa di cookie e il profilo è pronto.

Evitare i Trigger di Login: Ogni login Facebook da un nuovo dispositivo/posizione attiva controlli di sicurezza — codici di verifica, CAPTCHA, verifica dell'identità. L'iniezione di cookie salta completamente il processo di login, evitando questi trigger.

Persistenza della Sessione: I cookie mantengono le sessioni tra i riavvii del browser. Un profilo browser anti-detect correttamente configurato con cookie iniettati può mantenere una sessione Facebook per settimane senza ri-autenticazione.

Formati Cookie e Strumenti

Gli strumenti grey-hat accettano cookie in diversi formati:

• Formato Netscape: Il formato di esportazione cookie più vecchio. Testo normale, un cookie per riga. Compatibilità universale.
• Formato JSON: Strutturato, usato dalla maggior parte degli strumenti moderni. Ogni cookie è un oggetto JSON con tutti gli attributi.
• Stringa codificata Base64: Alcuni marketplace vendono cookie come una singola stringa codificata che gli strumenti decodificano automaticamente.
• Esportazione profilo browser: I browser anti-detect possono esportare interi profili inclusi cookie, localStorage e IndexedDB.

Strumenti per la Gestione dei Cookie:

• EditThisCookie (estensione Chrome) — Esportazione/importazione manuale dei cookie
• Cookie-Editor — Funzionalità simile, più mantenuta
• Importatori browser anti-detect — AdsPower, GoLogin, Multilogin hanno tutti finestre di dialogo integrate per l'importazione dei cookie
• Script personalizzati — L'API page.setCookie() di Puppeteer consente l'iniezione programmatica dei cookie

Sicurezza dei Cookie e Rischi

L'iniezione di cookie comporta rischi di sicurezza significativi:

Furto di Cookie: Se qualcuno ottiene i tuoi cookie Facebook, ha accesso completo al tuo account. I cookie venduti sui marketplace potrebbero essere stati rubati tramite malware, phishing o violazioni di dati — non esportati volontariamente dai proprietari degli account.

Session Hijacking: Facebook non può distinguere tra l'utente originale e qualcuno che ha iniettato i suoi cookie. Non c'è checkpoint di autenticazione a due fattori per l'accesso alla sessione basato su cookie.

Compromissione a Cascata: Se il database di uno strumento viene violato, ogni cookie memorizzato diventa accessibile agli aggressori. La violazione di AdsPower nel dicembre 2024 ha dimostrato questo rischio — l'estensione Chrome compromessa ha avuto accesso ai dati di sessione degli utenti su più piattaforme.

Scadenza e Invalidazione: I cookie scadono. Facebook ruota periodicamente i token di sessione. Un cookie che funziona oggi potrebbe non funzionare domani, creando una costante necessità di cookie freschi — e un mercato costante per i fornitori di cookie.

Pilastro 3: RPA (Robotic Process Automation)

Cosa Significa RPA in Questo Contesto

RPA nella pubblicità su Facebook significa software che controlla l'interfaccia web di Facebook simulando azioni umane. Invece di chiamare API con token, gli strumenti RPA aprono un browser, navigano su Ads Manager, cliccano pulsanti, compilano moduli e inviano campagne — esattamente come farebbe un utente reale, ma più velocemente.

Lo Stack Tecnologico

Framework di Automazione Browser:

• Puppeteer — Libreria Node.js per controllare Chromium. Il framework più comune per l'automazione di Facebook
• Playwright — Libreria di automazione multi-browser di Microsoft. Supporta Chromium, Firefox e WebKit
• Selenium — Framework più vecchio, ancora usato in alcuni strumenti. Più lento ma maturo

Integrazione con Browser Anti-Detect:

I browser anti-detect espongono interfacce di automazione a cui Puppeteer/Playwright possono connettersi. Il flusso:

Browser Anti-Detect (impronta unica) → Puppeteer si connette via CDP →
Script naviga UI Facebook → Azioni eseguite come da utente umano

AdsPower, ad esempio, espone un endpoint Chrome DevTools Protocol (CDP) per ogni profilo. Uno script Puppeteer si connette a questo endpoint e ha il pieno controllo sulla sessione browser — con l'impronta anti-detect intatta.

Come Funziona l'Autolaunch via RPA

Il workflow di autolaunch (автозалив) attraverso RPA:

1. Selezione profilo: Lo script seleziona un profilo browser anti-detect con una sessione Facebook attiva
2. Navigazione: Il browser apre facebook.com/adsmanager/creation
3. Setup campagna: Lo script compila obiettivo, budget, calendario
4. Configurazione ad set: Targeting, posizionamenti, obiettivo di ottimizzazione
5. Caricamento creativo: Upload immagine/video, testo dell'annuncio, URL, CTA
6. Revisione e pubblicazione: Invia la campagna per revisione
7. Loop: Ripete per il prossimo account/profilo

Ogni step implica:

• Rilevamento degli elementi: Trovare il pulsante, il campo di input o il menu a tendina corretto tramite selettore CSS, XPath o etichetta ARIA
• Interazione simile a quella umana: Aggiungere ritardi casuali tra le azioni (200-2000ms), muovere il mouse in modo naturale, scorrere fino agli elementi prima di cliccare
• Gestione degli errori: Rilevare popup, sfide CAPTCHA, restrizioni dell'account e gestire ogni caso
• Verifica: Confermare che ogni step sia completato con successo prima di procedere

Vantaggi del RPA Rispetto all'Accesso via Token

Minor Rischio di Rilevamento: RPA genera eventi browser genuini — movimenti del mouse, input da tastiera, eventi di scroll, cambiamenti di focus. I sistemi di rilevamento di Meta vedono una sessione browser che sembra umana.

Nessuna Dipendenza dal Token: RPA non necessita di un token EAAB. Funziona con qualsiasi sessione browser autenticata (incluse le sessioni basate su cookie).

Resilienza ai Cambiamenti UI: Gli strumenti RPA avanzati usano il riconoscimento visivo degli elementi anziché selettori CSS fissi. Se Facebook sposta un pulsante, lo strumento può comunque trovarlo grazie al suo aspetto visivo.

Accesso Completo alle Funzionalità: L'UI di Facebook espone funzionalità che la Marketing API non ha — certe opzioni di targeting, strumenti creativi e impostazioni dell'account sono disponibili solo tramite UI.

Svantaggi del RPA

Velocità: RPA è intrinsecamente più lento delle chiamate API. Creare una campagna via API richiede 1-3 secondi. Via RPA, richiede 30-120 secondi inclusi i ritardi simili a quelli umani.

Fragilità: L'UI di Facebook cambia frequentemente. Un cambio di nome classe, uno spostamento del layout o una nuova finestra modale possono rompere gli script. Il peso della manutenzione è elevato.

Limitazioni di Scala: Ogni operazione RPA richiede un'istanza browser. Eseguire 50 creazioni di campagne simultanee richiede 50 istanze browser — consumo significativo di CPU e RAM.

Recupero dagli Errori: Quando qualcosa va storto a metà processo (popup inaspettato, errore di caricamento pagina, elemento non trovato), il recupero è complesso. Le chiamate API basate su token falliscono in modo pulito con codici di errore. I fallimenti RPA possono lasciare le sessioni browser in stati sconosciuti.

Approcci Ibridi

Le piattaforme grey-hat più sofisticate combinano tutti e tre i metodi:

1. Iniezione di cookie per stabilire sessioni nei profili browser anti-detect
2. Estrazione di token da quelle sessioni per operazioni API veloci
3. Fallback RPA per operazioni che richiedono interazione browser o quando i token vengono segnalati

Questo approccio a livelli fornisce la massima flessibilità. Dolphin Cloud, ad esempio, può creare campagne tramite chiamate API token per velocità, passare all'RPA quando i pattern API attivano il rilevamento, e usare l'iniezione di cookie per mantenere sessioni persistenti su decine di account.

La Corsa agli Armamenti del Rilevamento

Meta investe pesantemente nel rilevamento dell'uso non autorizzato di strumenti. I segnali di rilevamento coprono tutti e tre i metodi di accesso:

Analisi Comportamentale

• Pattern di creazione campagne troppo uniformi (stessa struttura, temporizzazione, convenzioni di denominazione)
• Ore di attività che non corrispondono ai pattern storici dell'account
• Attività simultanea su più account che correla (stesse creatività, stesso targeting, stessa temporizzazione)

Segnali Tecnici

• Richieste API senza firme app corrette
• Impronte digitali del browser statisticamente troppo uniche (paradossalmente, i browser anti-detect possono creare impronte troppo perfette)
• Stringhe renderer WebGL che non corrispondono all'hardware dichiarato
• Discrepanze di fuso orario tra impronta digitale, IP e impostazioni dell'account

Analisi di Rete

• Più account accessati dallo stesso range IP
• Pattern di utilizzo proxy (proxy residenziali di provider noti per frode pubblicitaria)
• Impossibilità geografiche (account connesso da due continenti in pochi minuti)

Analisi Creativa e dei Contenuti

• Creatività identiche o quasi identiche tra account
• Landing page che corrispondono a pattern di cloaking noti
• Clustering di somiglianza del testo degli annunci tra account segnalati

Ogni miglioramento del rilevamento da parte di Meta innesca contromisure da parte degli sviluppatori di strumenti — nuove tecniche di fingerprinting, simulazione comportamentale migliorata, offuscamento più sofisticato. Questa corsa agli armamenti è continua e in accelerazione.

L'Alternativa Ufficiale

Per i media buyer che vogliono capacità di automazione senza i rischi tecnici, strumenti come AdRow forniscono accesso alla Marketing API ufficiale con:

• Autenticazione OAuth — nessun token da estrarre, nessun cookie da iniettare
• Operazioni campagne in bulk — crea e gestisci campagne su scala tramite API documentata
• Regole automatizzate — logica condizionale che agisce sulle campagne in base ai dati di performance
• Zero rischio di rilevamento — tutte le operazioni sono autorizzate e attese dai sistemi Meta

La mappa completa dell'ecosistema fornisce un contesto più ampio su dove si collocano questi strumenti, e l'approfondimento sull'autolaunch copre nel dettaglio i workflow specifici di creazione campagne.

Comprendere come funzionano gli strumenti grey-hat non è un'approvazione del loro utilizzo. È alfabetizzazione tecnica che ogni media buyer serio dovrebbe avere — perché i tuoi concorrenti certamente ce l'hanno.