I profili aziendali di Meta stanno subendo un incremento degli attacchi informatici, con i criminali che cercano modi facili per condurre campagne di malvertising su una delle piattaforme di social media più grandi al mondo. Questo è quanto emerge da un nuovo rapporto degli esperti di cybersecurity di Cofense, che hanno recentemente esaminato una nuova campagna di phishing diretta ai proprietari di tali account.
Un account business di Meta (Facebook o Instagram) si differenzia da un account regolare ed è progettato per permettere a imprese, marchi, organizzazioni e figure pubbliche di gestire la loro presenza, interagire con il loro pubblico e, cosa ancora più importante, gestire campagne pubblicitarie. Poiché quest'ultime devono sottostare a qualche forma di audit (generalmente automatizzato e molto probabilmente supportato da IA), gli account aziendali con uno storico di campagne di successo hanno una maggiore probabilità di essere approvati, purtroppo anche per malvertising. Questo li rende un bersaglio popolare tra i criminali informatici.
Inoltre, spesso agli account aziendali sono collegati anche carte di credito, permettendo così ai criminali di eseguire campagne di malvertising a spese di altri. Nonostante la maggior parte degli account aziendali oggi è protetta anche da autenticazione a più fattori (MFA), un nuovo kit di phishing, dettagliato da Cofense nel suo rapporto, consente agli avversari di bypassare anche questo passo.
Tutto inizia con un'email di phishing, che elude i filtri anti-spam e arriva direttamente nella casella di posta in arrivo. L'email sostiene che una recente campagna pubblicitaria ha violato la politica di Meta e che sono necessarie urgenti verifiche delle informazioni affinché la campagna e l'account stesso non vengano terminati. Come previsto dalle email di phishing, questa offre un link per "verificare" le informazioni dell'account, che reindirizza gli utenti a una falsa pagina di login di Facebook. Lì, gli attaccanti possono non solo acquisire le credenziali di accesso, ma anche i codici MFA.
Come difendersi dagli attacchi informatici
Difendersi dalle email di phishing è relativamente semplice e inizia con il controllo del mittente dell'email (che in caso di attacchi quasi mai corrisponde al dominio legittimo). Inoltre, le email autentiche non chiederanno quasi mai azioni urgenti dell'utente e non minacceranno la terminazione dell'account in un modo simile.
.jpg)
