Check Point rivela truffe telefoniche su larga scala
Le piattaforme SaaS rappresentano un potente vettore per le campagne, rendendo necessario adottare strategie di rilevamento contestuali che superino i soli indicatori tradizionali.
Le truffe telefoniche sfruttano piattaforme SaaS popolari per convincere gli utenti a chiamare numeri controllati dagli aggressori. Ecco i metodi più diffusi.
Check Point Software Technologies ha individuato una nuova campagna di truffe telefoniche su larga scala in cui gli attaccanti hanno sfruttato piattaforme SaaS affidabili per inviare esche telefoniche apparentemente autentiche. Anziché falsificare domini o compromettere servizi, gli aggressori hanno abusato delle funzionalità native delle piattaforme per generare notifiche quasi indistinguibili dalle comunicazioni ufficiali. Ereditando così fiducia, reputazione e autenticità dei fornitori SaaS.
La campagna ha generato circa 133.260 e-mail con impatto su 20.049 aziende, evidenziando una tendenza crescente in cui i malintenzionati utilizzano marchi affidabili e flussi di lavoro cloud nativi per amplificare portata e credibilità. Tra i brand maggiormente coinvolti figurano Microsoft, Zoom, Amazon, PayPal, YouTube e Malwarebytes.
Crescita e metodi delle truffe telefoniche via SaaS
Negli ultimi mesi, si è registrato un forte aumento dell’abuso del SaaS:
Ultimi 6 mesi: ~648.291 e-mail con impatto su ~36.845 aziende
Ultimi 3 mesi: ~463.773 e-mail con impatto su ~32.482 aziende
Gli attaccanti non utilizzano più domini contraffatti o link malevoli, ma incorporano contenuti fraudolenti nei campi controllati dall’utente delle piattaforme SaaS. Questo genera e-mail provenienti da domini con ottima reputazione, riducendo il rilevamento automatico e lo scetticismo degli utenti.
David Gubiani, Regional Director Security Engineering, EMEA Southern e Israele per Check Point Software Technologies
La crescente dipendenza dalle esche telefoniche supporta ulteriormente questo cambiamento. Indirizzando le vittime a chiamare numeri controllati dagli attaccanti, le campagne bypassano analisi URL, sandboxing e sistemi di reputazione dei link, spostando la fase finale dell’attacco al social engineering vocale.
I tre metodi principali di abuso del SaaS
Metodo 1: Generazione legittima di e-mail SaaS e ridistribuzione automatizzata Gli attaccanti creano o modificano account legittimi e inseriscono contenuti truffaldini nei campi utente (nome, dati profilo), generando notifiche perfettamente autentiche. Le piattaforme Zoom, PayPal, YouTube e Malwarebytes riportano fedelmente questi contenuti, che vengono poi ridistribuiti su larga scala con narrazioni urgenti su abbonamenti o fatturazione, spingendo le vittime a chiamare numeri controllati dagli aggressori.
Metodo 2: Abuso dei flussi di lavoro Microsoft Gli attaccanti configurano tenant Microsoft legittimi e sfruttano notifiche automatiche su account, abbonamenti, Entra ID e Power BI, inserendo contenuti fraudolenti nei campi controllati dall’utente. Le e-mail generate dall’infrastruttura Microsoft risultano autentiche, inducendo le vittime a contattare i numeri telefonici degli aggressori senza cliccare link dannosi.
Metodo 3: Abuso degli inviti Amazon Business Gli aggressori inseriscono testi truffaldini nei campi di invito di Amazon Business, inclusi addebiti falsi e numeri di assistenza. Amazon invia le e-mail tramite Amazon SES, superando controlli SPF, DKIM, DMARC e ARC. Le notifiche appaiono completamente autentiche senza alcuna infrastruttura compromessa.
Settori e distribuzione geografica colpiti dalle truffe telefoniche
I settori più esposti includono: Tecnologia / SaaS / IT (26,8%), Produzione / Industria / Ingegneria / Edilizia (21,4%) e Imprese / Commercio B2B (18,9%).
La distribuzione geografica mostra una prevalenza negli Stati Uniti (66,9%), seguiti da Europa (17,8%) e Asia-Pacifico (9,2%).
Le piattaforme SaaS rappresentano quindi un potente vettore per le campagne, rendendo necessario adottare strategie di rilevamento contestuali che superino i soli indicatori tradizionali.
