Negli ultimi giorni il team di Cyber Threat Intelligence di D3Lab ha intercettato una campagna di phishing ai danni di Facebook Business che si distingue per una caratteristica particolarmente insidiosa: l’utilizzo dell’infrastruttura di Salesforce, uno dei principali CRM a livello mondiale, come canale di invio delle email fraudolente.

L’email analizzata arriva da un indirizzo del tutto legittimo, [email protected], e supera i controlli SPF senza problemi. Non siamo quindi davanti a un classico caso di spoofing, bensì a un abuso consapevole delle funzionalità offerte dalla piattaforma. I criminali, infatti, registrano un account su Salesforce approfittando della demo gratuita e sfruttano questo accesso per inviare messaggi fraudolenti che appaiono tecnicamente autentici e quindi difficili da bloccare con i filtri antispam tradizionali.

Il testo della comunicazione simula una notifica legale proveniente da Sony Music Italy tramite lo studio Legance – Avvocati Associati, sostenendo che i contenuti musicali protetti da copyright sarebbero stati condivisi senza autorizzazione sulle pagine Facebook del destinatario. Per aumentare la pressione psicologica viene fornito un numero di caso fittizio e si prospettano possibili conseguenze legali. All’interno del messaggio è presente un link che sembra appartenere a business.facebook.com, ma che in realtà reindirizza verso un dominio esterno creato Ad-Hoc dai criminali (metahelp-support[.]com).

La forza di questa campagna sta proprio nella combinazione di legittimità tecnica e inganno psicologico. Da un lato, l’uso di Salesforce garantisce la provenienza da un dominio affidabile, elemento che induce i sistemi di sicurezza e gli stessi utenti a fidarsi. Dall’altro, l’aspetto legale e intimidatorio del testo spinge il destinatario ad agire rapidamente, riducendo la soglia di attenzione necessaria per riconoscere l’inganno.

Questa tecnica evidenzia come non sia sempre necessario compromettere infrastrutture complesse per condurre un attacco efficace: talvolta è sufficiente sfruttare servizi affidabili in maniera impropria. Per le aziende e i professionisti che gestiscono pagine sui social media, la minaccia è particolarmente rilevante, perché colpisce direttamente il loro lavoro quotidiano e mette a rischio la reputazione del brand.

Per difendersi da queste forme di phishing avanzato è fondamentale analizzare sempre con attenzione i link contenuti nelle email, verificando il vero indirizzo di destinazione prima di cliccare. È altrettanto importante non lasciarsi intimidire da comunicazioni che fanno leva su urgenza e paura, soprattutto quando arrivano con toni legali o riferimenti a presunte violazioni. Infine, le organizzazioni dovrebbero continuare a investire in formazione degli utenti e soluzioni di sicurezza capaci di rilevare anche link mascherati, andando oltre la semplice verifica del mittente.

La campagna dimostra ancora una volta come i criminali siano abili nell’adattarsi e nel trovare nuove strade per eludere le difese. Per questo motivo la consapevolezza rimane lo strumento più efficace per riconoscere e bloccare sul nascere minacce che, pur partendo da mittenti affidabili come Salesforce, hanno un unico obiettivo: sottrarre credenziali e compromettere gli account aziendali su Facebook Business.