Il team di Cyber Threat Intelligence di D3Lab ha individuato una nuova campagna di phishing rivolta agli utenti di Facebook Business, caratterizzata dall’uso improprio dell’infrastruttura di Salesforce, uno dei più noti CRM a livello mondiale, per l’invio delle email fraudolente.
L’email proviene da un indirizzo del tutto legittimo, (noreply@salesforce.com) e supera i controlli SPF. I criminali registrano un account su Salesforce sfruttando la demo gratuita, e da lì inviano comunicazioni fraudolente che appaiono tecnicamente legittime, rendendo difficile la loro individuazione da parte dei tradizionali filtri antispam.
Il testo simula una notifica legale di Sony Music Italy tramite lo studio Legance – Avvocati Associati, accusando il destinatario di aver condiviso contenuti musicali protetti da copyright sulle proprie pagine Facebook senza autorizzazione, e viene fornito un numero di caso fittizio, con la minaccia di potenziali conseguenze legali. All’interno del corpo dell’email è presente un link ingannevole che sembra rimandare a business.facebook.com, ma che in realtà reindirizza verso un dominio malevolo (metahelp-support[.]com), creato ad hoc per sottrarre le credenziali degli account aziendali.
La forza di questa campagna risiede nella combinazione di legittimità tecnica e inganno psicologico: l’autenticità del mittente e l’aspetto legale spingono l’utente ad agire in fretta, abbassando la soglia d’attenzione.
D3Lab raccomanda di analizzare sempre con attenzione i link contenuti nelle e-mail, verificando il vero indirizzo di destinazione prima di cliccare, e non cedere a urgenze o minacce, soprattutto quando arrivano con toni legali o riferimenti a presunte violazioni.
