Campagna di phishing su piattaforme SaaS sfrutta le notifiche legittime per indurre le vittime a chiamare numeri falsi: nel mirino migliaia di aziende in tutto il mondo.
Autore: Redazione SecurityOpenLab
133.260 email di phishing, oltre 20mila aziende colpite: è il bilancio di una campagna in cui gli attaccanti hanno sfruttato piattaforme Software‑as‑a‑Service legittime per inviare esche telefoniche all’apparenza autentiche e affidabili. A scoprirla e analizzarla sono stati i ricercatori di Check Point Software Technologies, che si sono trovati di fronte all’abuso delle infrastrutture dei grandi fornitori SaaS. In sostanza, i criminali informatici le hanno usate esattamente per ciò per cui erano state progettate: inviare notifiche di servizio pulite, firmate, perfettamente conformi ai controlli di autenticazione. Il risultato è un’ondata di truffe telefoniche veicolate via email da brand come Microsoft, Zoom, Amazon, PayPal, YouTube e Malwarebytes, che ereditano reputazione, grafica e deliverability dei rispettivi servizi.
La campagna ricostruita da Check Point, con i numeri riportati sopra, si è concentrata negli Stati Uniti, in Europa e in misura minore nell’area Asia-Pacifico e si inserisce in una dinamica che negli ultimi mesi ha visto esplodere il phishing basato sull’abuso di SaaS: nei sei mesi più recenti gli analisti hanno tracciato 648.291 email di phishing di questo tipo contro 36.845 organizzazioni, di cui 463.773 email e 32.482 aziende solo nell’ultimo trimestre. La scelta di usare piattaforme cloud affidabili come veicolo dà agli attaccanti un duplice vantaggio: evita la necessità di gestire infrastrutture proprie e abbassa drasticamente il rischio di detection.
L’elemento più caratteristico di questa ondata è l’uso sistematico di esche telefoniche anziché dei link cliccabili. Denominatore comune delle comunicazioni malevole è infatti un messaggio con informazioni urgenti su abbonamenti, addebiti o problemi di account, che si propone di risolvere tramite telefonata a un numero di assistenza. In realtà quest’ultimo è sotto il pieno controllo degli attaccanti, che convincono gli interlocutori a fornire numeri di carta di credito, credenziali, o autorizzazioni a pagamenti.
I metodi di abuso dei flussi SaaS individuati da Check Point sono tre. Il primo sfrutta la generazione legittima di email da parte di piattaforme come Zoom, PayPal, YouTube e Malwarebytes: gli attaccanti creano o modificano account e inseriscono contenuti malevoli nei campi controllati dall’utente, come nome dell’account o dati di profilo. Consegue che le piattaforme generano email dai propri domini ufficiali, con layout standard e firme corrette, con oggetto o corpo che includono numeri di telefono “di assistenza” e testi che sollecitano una chiamata urgente per risolvere presunti problemi. Una volta create, queste email vengono poi ridistribuite in massa tramite regole automatiche di posta, mantenendo intatta l’intestazione originaria e quindi la reputazione del servizio legittimo.
Il secondo metodo descritto da Check Point porta l’abuso dentro all’ecosistema Microsoft, mediante lo sfruttamento dei flussi nativi di notifica di diversi prodotti: email su account e abbonamenti, messaggi di identità Entra ID, notifiche di servizio di Power BI. Gli attaccanti creano o ottengono il controllo di un tenant Microsoft legittimo e configurano i servizi in modo che generino notifiche automatiche che includono dettagli relativi a clienti, abbonamenti o prodotti (campi che possono essere compilati con contenuti fraudolenti). Il testo malevolo finisce in oggetti e corpi delle mail di Microsoft, che vengono inviate dall’infrastruttura ufficiale, con autenticazioni SPF, DKIM e DMARC ineccepibili e un aspetto del tutto identico alle comunicazioni di routine. Il destinatario riceve messaggi autentici, che in realtà fanno capo agli autori della minaccia.
Il terzo metodo riguarda gli inviti Amazon Business, una funzionalità pensata per ampliare l’adozione di un servizio aziendale. In questo caso gli attaccanti sfruttano la funzione “invita utenti” del portale Amazon Business, compilando i campi controllati dall’utente, come il nome dell’azienda o il messaggio di invito personalizzato, con testi truffaldini che includono addebiti fittizi e numeri di telefono di finto supporto. Non è un inedito: in un recente attacco è stata usata la stessa tecnica, ma abusando di OpenAI.
Da notare che in tutti e tre i casi c’è un’assenza totale di link malevoli, che permette di aggirare le difese basate sull’analisi degli URL, sulle sandbox e sui sistemi reputazionali legati ai domini. La fiducia che utenti e dipartimenti IT ripongono nelle notifiche dei brand abusati gioca a favore dei criminali.
La scelta dei settori target va di pari passo con gli ambienti in cui i servizi SaaS sono maggiormente diffusi: aziende del comparto IT (26,8% del totale), manufacturing, ingegneria ed edilizia (21,4%), imprese B2B non specifiche per settore (18,9%) e il comparto education (12,1%). Come fatto notare sopra, la distribuzione geografica delle vittime copre sia economie mature ad alta densità di servizi cloud sia regioni in cui l’adozione di piattaforme SaaS è in rapida crescita. La timeline operativa traccia una progressione lineare e mostra una tendenza in rapida ascesa. Non è difficile capirne i motivi: gli attaccanti considerano l’abuso di SaaS un meccanismo di distribuzione scalabile e a basso attrito, con un ritorno sull’investimento più elevato rispetto al phishing tradizionale, le cui dinamiche restano le stesse ma vengono traslate dentro i processi di comunicazione delle piattaforme cloud.
Dal punto di vista difensivo, la campagna messa in luce da Check Point evidenzia le difficoltà di applicare i vecchi schemi di valutazione del rischio a un contesto in cui la superficie attaccabile si sposta sui flussi SaaS e sulla loro logica di notifica. Nel caso specifico, la variabile determinante diventa il contenuto contestuale: la presenza ricorrente di numeri di telefono non riconducibili ai canali ufficiali dei brand, la formulazione di urgenze legate a fatturazioni e abbonamenti, la dissonanza tra il tipo di account del destinatario e la natura della richiesta. Per i team di sicurezza questo significa spostare una parte del focus verso strumenti e politiche che analizzano in profondità il contenuto delle notifiche legittime e definiscono regole specifiche per l’uso dei flussi SaaS, in coordinamento con i provider.