«Mi può mandare un piano marketing?». La truffa di social engineering che usa il brand di lusso Lancel
Se lavori all’interno di un’agenzia di marketing, capita quotidianamente di gestire decine di mail al giorno. Ce ne sono di “buone” e di meno buone, di realmente remunerative o di vero e proprio spam. Per avere una bussola e non perdersi in tutto questo, c’è bisogno di una sana educazione digitale. Quello che è stato segnalato alla redazione di Giornalettismo – e che coinvolge, suo malgrado, il noto brand di borse di lusso Lancel – rende bene l’idea. Abbiamo scoperto quanto siano diventate raffinate le tecniche di social engineering e come si potrebbero cedere informazioni riservate e dati sensibili credendo di cooperare in partnership con un brand internazionale. La definizione corretta è quella di pretexting, ovvero il fenomeno che vede l’aggressore creare un’identità o uno scenario inventato per convincere la vittima a divulgare informazioni riservate, concedere l’accesso a sistemi riservati o eseguire azioni che altrimenti non intraprenderebbe. Al momento, ci è arrivata una sola segnalazione, ma abbiamo ragione di credere che – attraverso questa forma di pretexting – qualcuno stia cercando di accedere a strascico ai dati riservati delle agenzie di marketing italiane.
LEGGI ANCHE > La truffa su LinkedIn che arriva in mail: «Ci sono persone che stanno guardando il tuo profilo»
Utilizzano il brand Lancel per carpire dati dalle agenzie di marketing
Inizia tutto da un contatto LinkedIn. L’utente – che poi ha provveduto dopo qualche ora a rimuovere il profilo – scrive a un’agenzia di marketing utilizzando il nome e l’immagine di una vera dipendente di Lancel. In questo modo, chiunque vorrà verificare la genuinità del contatto non dovrà far altro che cercare il profilo e riscontrarne la veridicità: si tratta, nella fattispecie, di una marketing manager internazionale di Lancel. «Rappresento il brand francese Lancel – si legge nel messaggio -. Dopo aver effettuato uno studio dettagliato, vorremmo invitare la vostra azienda a collaborare con noi ai servizi di social media advertising per il mercato italiano. Può visitare la nostra pagina Facebook (con tanto di link al profilo ufficiale di Lancel, ndr) e può contattarci via mail all’indirizzo info@lancelme.com per discutere ulteriori dettagli e proporre un budget appropriato per questa campagna».
Il messaggio viene preso in considerazione e, quindi, l’azienda prova a contattare Lancel all’indirizzo di posta suggerito. Risultato? Arriva una lunga mail firmata direttamente dalla presunta dipendente di Lancel che aveva effettuato il primo contatto su LinkedIn. Nella mail, si presenta Lancel, si mette in evidenza la linea di prodotti in vendita (con tanto di link al sito ufficiale), si parla del budget a disposizione per una campagna di marketing che possa aiutare Lancel a rafforzare il suo brand sul mercato italiano. La disponibilità può arrivare addirittura a 150-200mila euro al mese (una cifra molto alta, che però potrebbe anche essere congrua per un brand di lusso internazionale), raggiungibile attraverso KPI-bonus. Si illustrano i dettagli per il pagamento dell’eventuale commessa e si chiede all’azienda di comunicare a stretto giro un piano o una proposta per raggiungere obiettivi di posizionamento, di crescita della visibilità e di costruire campagne di digital advertising sui social network. Viene addirittura fornito del materiale per il brief: un link a Dropbox (che gli strumenti di link checking, tra l’altro, contrassegnano come sicuro), tutelato da una password che viene fornita nella mail, contiene una presentazione PPT di Lancel, una analisi di mercato ed esempi di visual (perlopiù – come analizzato in seguito – foto e reels tratti dai canali social ufficiali di Lancel e da quelli dei suoi rivenditori).
Cosa c’era di strano
Il metodo di ingaggio è decisamente strano e porta a un approfondimento. L’enigma è presto svelato: l’indirizzo mail non ha il dominio che Lancel normalmente utilizza per le sue comunicazioni e che mette a disposizione dei suoi dipendenti. L’azienda francese ha un dominio @lancel.fr, mentre il presunto contatto dell’agenzia di marketing ha come dominio @lancelme.com. Più che la raffinatezza della situazione creata attraverso la tecnica del pretexting, più che il dettaglio dei materiali forniti e della proposta economica, è sempre buona prassi verificare l’indirizzo del contatto. È la regola aurea dell’educazione digitale. A volte, anche i più esperti la danno per scontata nel flusso della quotidianità, ed è per questo che il pretexting può essere efficace.
Attraverso questa strategia, infatti, è possibile carpire informazioni sensibili a livello aziendale, scoprire metodi di lavoro, composizione del team, altri dati che possono emergere dallo scambio delle mail (senza necessariamente arrivare all’aspetto economico). Un rischio per tutto l’ecosistema delle agenzie di marketing, nell’epoca dei social network, della condivisione pubblica delle proprie informazioni e dei propri ruoli e compiti professionali. Giornalettismo ha contattato Lancel per segnalare la vicenda. L’azienda ha confermato che si trattava di un tentativo fraudolento. Ma la sua risposta – come vedremo in un altro articolo del nostro monografico di oggi – ci ha convinto poco.
L'articolo «Mi può mandare un piano marketing?». La truffa di social engineering che usa il brand di lusso Lancel proviene da Giornalettismo.