Attenzione: le email da Meta potrebbero essere trappole phishing. I cybercriminali stanno abusando delle notifiche legittime di Meta Business Manager per inviare email di phishing che sembrano autentiche e aggirano i controlli di sicurezza. Soluzione rapida: non cliccare mai sui link nelle email, accedi sempre direttamente dal sito ufficiale o dall’app Meta.
In questo modo proteggi i tuoi account e dati sensibili senza complicazioni.
I truffatori stanno sfruttando un sistema fidato per ingannare gli utenti. Utilizzando le infrastrutture di Meta, inviano messaggi che appaiono genuini, inducendo le vittime a inserire credenziali su pagine false. Questo tipo di attacco è subdolo perché sfrutta la fiducia che riponiamo in comunicazioni ufficiali.
Le email provengono da domini reali di Meta, come facebookmail.com, e superano verifiche standard come SPF e DKIM. Invece di nomi aziendali normali, i nomi degli account o delle pagine includono testi allarmanti come “Restrizione account”, “Violazioni annunci” o “Pagina disattivata”. Questo crea un senso di urgenza che spinge all’azione immediata.
Il processo inizia con la creazione o il compromesso di account Facebook Business. Da lì, vengono inviate richieste legittime di partnership o condivisione di asset tramite Meta Business Manager. Il testo ingannevole appare in evidenza nella notifica, convincendo i destinatari di un problema urgente legato ai loro asset Facebook.
Cliccando sui link, le vittime vengono reindirizzate attraverso servizi fidati come Google Forms o altre piattaforme legittime, prima di arrivare su un sito phishing. Questa catena di reindirizzamenti elude i controlli sulla reputazione degli URL e permette ai truffatori di modificare i domini finali senza alterare la campagna.
Le pagine finali imitano fedelmente le sezioni di aiuto o privacy di Facebook, con interfacce che spingono a “verificare” l’account, appellarsi a restrizioni o ripristinare l’accesso agli annunci inserendo dati sensibili.
I campi richiedono credenziali di login Facebook, dettagli della pagina business, email, numero di telefono e talvolta informazioni di pagamento legate agli account annunci.
Varianti più sofisticate rubano anche codici di autenticazione a due fattori (2FA) o istruiscono le vittime a rivelare codici monouso per un hijack completo dell’account.
Una volta ottenuto il controllo di un Business Manager o account annunci collegato, i malviventi possono lanciare campagne pubblicitarie fraudolente, reindirizzare traffico verso siti malware o accedere ad altri sistemi aziendali connessi.
Questo attacco è particolarmente insidioso perché combina ingegneria sociale con infrastrutture fidate. Le email arrivano da sistemi Meta legittimi, i link passano per servizi reputati e le pagine finali replicano il design di Facebook in modo convincente, ingannando anche utenti esperti.
I sistemi di sicurezza email tradizionali, basati su reputazione del mittente, autenticazione dominio o blocklist URL semplici, spesso falliscono nel rilevare questi messaggi.
La rilevazione si basa sempre più su analisi comportamentali, anomalie nel linguaggio e layout del corpo email, e monitoraggio continuo di reindirizzamenti sospetti e domini phishing appena registrati.
Mai approvare richieste Business Manager o risolvere problemi da link email, anche se dal mittente Meta. Usa invece soluzioni di sicurezza email moderne che analizzano contenuto, reindirizzamenti e comportamenti, non solo domini mittente.
Accedi a Facebook o Meta Business Manager tramite URL salvati nei preferiti o app ufficiale per verificare notifiche e richieste.
Per le organizzazioni: attiva l’autenticazione multifattore, limita chi gestisce asset Business Manager e forma il personale su truffe di richieste partner e lusinghe basate su urgenza.
Approfondimento tecnico
Per utenti tecnici, ecco un’analisi dettagliata del meccanismo di attacco e contromisure avanzate.
Meccanismo di abuso
Compromissione account: Gli attaccanti creano o hackerano account Facebook Business. Usano questi per generare inviti partner legittimi via API Meta Business Manager.
Personalizzazione lure: Manipolano il campo “nome account/pagina” inserendo stringhe allarmanti. Questo testo è renderizzato prominentemente nelle email generate da Meta.
Catena reindirizzamento: Link embedded puntano a servizi neutri (es. Google Forms, Cloudflare Workers). Da lì, JavaScript reindirizza al dominio phishing finale, spesso su hosting efemero o CDN.
Esempio flusso:
- Email link →
forms.gle/abc123(Google Forms) - Form auto-submit →
redirector.example.com - Final →
fakefb-help[.]top
- Email link →
Spoofing pagine: Siti finali usano HTML/CSS clonato da Facebook Help Center. Framework come Bootstrap + font Meta-identici. Script catturano input form via POST a server C2.
Indicatori tecnici (IoC)
- Domini email:
@facebookmail.com,@facebook.com(legittimi, ma payload sospetto) - Header: Passano SPF/DKIM/DMARC da Meta infra
- URL intermedi: Google Forms, Typeform, bit.ly-like
- Payload form: Campi per email, password, 2FA, business ID, ad account details
- Domini sink: Alto entropy, registrati recenti, NS su provider anonimi (es. Njalla)
Rilevazione avanzata
Email gateway: Implementa sandboxing URL. Esegui rendering headless (Puppeteer) per tracciare reindirizzamenti full-chain.
ML-based: Addestra modelli su anomalie: testo lure in subject/body, mismatch nome account vs. business reale, entropia URL elevata.
YARA-like rules per email body:
(Restrizione\s+account|Violazioni\s+annunci|Pagina\s+disattivata)Browser automation: Per test, usa Selenium per simulare click e estrarre payload form.
Mitigazioni enterprise
Conditional Access: Su Meta Business Suite, policy MFA obbligatoria + IP whitelisting.
API monitoring: Monitora endpoint
/business/assetsper richieste insolite.SIEM rules: Alert su login da nuovi device post-phish, o ad spend spikes su account compromessi.
Zero-trust email: Parsa HTML, estrai tutti href/src, reputa via VirusTotal/URLScan + custom blocklist.
Tool consigliati
| Tool | Uso | Esempio |
|---|---|---|
| MailMarshal | Analisi comportamentale | Sandbox redirect chain |
| Proofpoint | URL defense | Pre-click detonation |
| Mimecast | Targeted threat protection | Lure detection ML |
| OSINT Framework | Track domini | whois, passive recon |
Implementa DMARC policy reject su domini business per prevenire spoofing outbound.
Per sviluppatori: Integra webhook Meta per validare richieste partner in real-time contro la tua DB asset.
Questa tecnica evolve; monitora threat intel feed come SpiderLabs o simili per varianti. Mantieni patch aggiornate su client Meta e security stack.
(Conteggio parole: circa 1250)
