Dimenticate i domini contraffatti con errori di ortografia o i siti web palesemente sospetti. La nuova frontiera del cybercrimine non cerca più di imitare i brand famosi: li usa direttamente. Check Point Software Technologies ha recentemente smascherato una campagna di phishing su vasta scala che ha trasformato piattaforme SaaS (Software-as-a-Service) legittime in inconsapevoli complici di una truffa globale.
Il Cambio di Passo: L’Eredità della Fiducia
La strategia degli attaccanti ha subito una mutazione genetica. Invece di combattere i filtri di sicurezza, gli aggressori sfruttano le funzionalità native di servizi come Microsoft, Zoom e Amazon per inviare notifiche che sono, a tutti gli effetti, autentiche.
Il risultato? Le e-mail superano i controlli di autenticazione (come SPF e DKIM) perché provengono dai server reali del fornitore, ereditandone la reputazione e riducendo al minimo i sospetti dell’utente.
I Numeri dell’Attacco
L’accelerazione registrata negli ultimi mesi è impressionante:
- Impatto totale: Circa 133.260 e-mail inviate a oltre 20.000 aziende.
- Trend in crescita: Negli ultimi 6 mesi sono state rilevate quasi 650.000 e-mail di questo tipo.
- Obiettivo: Indurre le vittime a chiamare falsi centri di assistenza (Phone Baiting) anziché cliccare su link, bypassando così il sandboxing e l’analisi degli URL.
I Tre Metodi dell’Abuso SaaS
Gli aggressori non hanno compromesso le piattaforme, ma hanno “giocato” con le loro regole. Ecco come operano:
1. Manipolazione dei Campi e Ridistribuzione
Gli attaccanti creano account su piattaforme come PayPal, YouTube o Zoom e inseriscono testi truffaldini nei campi del profilo (es. il nome dell’utente diventa “Assistenza Urgente Fatturazione”). La piattaforma genera quindi una notifica legittima che include questo testo, che viene poi ridistribuita su larga scala tramite regole automatiche.
2. Sfruttamento dell’Ecosistema Microsoft
In questo scenario, vengono abusati i flussi di lavoro di Microsoft Power BI ed Entra ID. Compilando campi relativi ad abbonamenti o prodotti con contenuti fraudolenti, Microsoft stessa genera e invia notifiche che sembrano comunicazioni di routine, ma che in realtà contengono esche telefoniche.
3. Inviti Amazon Business
Sfruttando la funzione “invita utenti”, i criminali inseriscono addebiti falsi e numeri di telefono nel messaggio di invito personalizzato. Amazon invia il messaggio tramite i propri canali ufficiali, rendendo l’e-mail indistinguibile da una comunicazione aziendale reale.
Chi è nel mirino?
Nessun settore è immune, ma alcuni sono più colpiti a causa dell’alto volume di notifiche digitali che gestiscono quotidianamente:
| Settore | Percentuale di Impatto |
| Tecnologia / SaaS / IT | 26,8% |
| Produzione / Ingegneria | 21,4% |
| B2B / Commercio | 18,9% |
| Istruzione | 12,1% |
| Finanza / Banche | 7,4% |
A livello geografico, gli Stati Uniti guidano la classifica con il 66,9% dei casi, seguiti dall’Europa al 17,8%.
Conclusione: Oltre i Segnali Tradizionali
Come sottolineato da David Gubiani di Check Point, la dipendenza dalle esche telefoniche sposta la fase finale dell’attacco verso l’ingegneria sociale vocale, più difficile da intercettare per i sistemi automatici. È fondamentale che i difensori comprendano che un’e-mail proveniente da un brand affidabile non è intrinsecamente sicura: serve un’analisi contestuale che vada oltre la reputazione del mittente.
“L’abuso del SaaS rappresenta un’evoluzione strategica: gli aggressori danno priorità all’eredità della fiducia rispetto alla creazione di una propria infrastruttura”.
