Su questo blog trattiamo spesso i casi di phishing (e tecniche simili) riscontrati e segnalati online sia per il nostro paese che, nei casi più importanti, anche per i paesi e le aziende estere. Ovviamente quando questi casi riguardano grandi colossi tecnologici mondiali, come quello di cui stiamo per raccontare, le dimensioni delle campagne diventano mastodontiche e maggiormente preoccupanti.
Stiamo parlando di un caso avvenuto a fine 2024 e riguardante indirettamente Facebook, uno dei social più utilizzati al mondo facente parte del gruppo Meta, dato che una massiccia campagna di phishing ha preso di mira dei suoi utenti e più in particolare aziende per una quantità di email malevole che è stata stimata intorno ai 12.300 indirizzi colpiti. Come detto inizialmente, la campagna è stata perpetrata in diverse parti del mondo, visto che il 90% degli attacchi è stato spartito tra Unione Europea e Stati Uniti mentre il 10% circa è stato riscontrato in Australia, ma sono anche stati segnalati gli stessi tentativi di truffa con messaggi in cinese ed a caratteri arabi. La cosa che rende ulteriormente preoccupante questa offensiva è lo strumento utilizzato per inviare queste email fraudolente, ovvero il sistema di invio automatico di comunicazioni venduto da Salesforce, quindi una soluzione che fa sembrare legittimi i messaggi così da oltrepassare eventuali filtri spam ed oltretutto in modo da non violare nemmeno le policy di Salesforce.
Il testo dei messaggi che sono stati riscontrati dagli esperti contengono praticamente sempre riferimenti ad una violazione del copyright effettuata dall’azienda che ha ricevuto la notifica via email, aggiungendo la data in cui il misfatto sarebbe accaduto e l’azienda che avrebbe contattato Facebook per segnalare la violazione. Ad esempio, in uno dei messaggi resi noti si vede che in data 20 dicembre la vittima avrebbe ricevuto una notifica da Facebook poiché quest’ultimo è stato contattato da Universal a seguito dell’utilizzo illegittimo di un pezzo musicale. Ovviamente nulla di tutto ciò è vero. All’interno del messaggio c’è anche un link al centro di supporto, al quale ci si dovrebbe collegare per effettuare un reclamo o banalmente per chiedere informazioni sulla notifica.
All’interno del link al finto support center verrà visualizzata una pagina molto simile ad una vera pagina di Facebook, nella quale vengono richiesti dati d’accesso al sistema giustificando l’imposizione dicendo che servono a far revisionare il profilo evitando la sua disattivazione o l’inibizione dalla parte advertising. In caso di prosecuzione dell’iter proposto dai criminali informatici si perderanno quindi gli accessi ed il controllo dei profili, che essendo aziendali potrebbero anche avere la parte Business e tutte le carte ed i metodi di pagamento salvati. Ovviamente, dopo la cancellazione eventuale dei post o la pubblicazione di contenuti fraudolenti c’è il danno d’immagine e la perdita totale del controllo insieme a tutte le eventuali cause che potrebbero essere intentate nei casi più gravi.
Tutta questa campagna è stata segnalata da Check Point Security, un’azienda specializzata in sicurezza web, che ha inserito a corredo anche alcuni screenshot delle email inviate alle potenziali vittime. Guardando bene, nonostante i formati abbastanza verosimili del testo e della pagina d’atterraggio, vediamo anche loghi palesemente diversi, per esempio con “face” e “book” staccati. A prescindere da questi fatti, è evidente che una campagna così capillare deve essere denunciata per far sì che meno utenti possibili ci possano cascare. Per evitare problemi, ad ogni modo, i consigli sono sempre quelli di fare attenzione a un po’ di elementi del messaggio quali i mittenti, la destinazione degli URL presenti (facendo mouse hover SENZA cliccare), gli errori di battitura, la verosimiglianza della comunicazione e, come specificato, anche le immagini presenti.
Fonte: 1
