Truffe lavorative che sfruttano i marchi Netflix, Coca-Cola e FIFA prendono di mira i professionisti del marketing

| 7 luglio 2026
assunzioni da parte delle principali aziende

Gli autori degli attacchi si spacciano per grandi aziende e agenzie di reclutamento per prendere di mira i professionisti del marketing, utilizzando servizi affidabili e trucchi del browser per far sembrare la truffa credibile.

Un articolo di BleepingComputer che descriveva in dettaglio la campagna ha individuato almeno 34 domini che si spacciavano per aziende di grande valore, tra cui Netflix, Coca-Cola, Adidas e FIFA.

L'esca è un finto colloquio di lavoro o una richiesta di appuntamento da parte di un “reclutatore” che si presenta come rappresentante di una di queste grandi aziende. Il sito web contraffatto mostra quindi alla vittima una finestra pop-up fasulla per l'accesso a Google, integrata direttamente nella pagina, anziché una vera finestra del browser.

Esempio di finestra di accesso

Per evitare di essere scoperti, gli autori degli attacchi fanno passare le vittime attraverso una catena di servizi legittimi prima che raggiungano il sito di phishing. Quindi, invece di passare direttamente da A a D, il percorso è A → B → C → D. Nel phishing, gli autori degli attacchi utilizzano questa tecnica per far sembrare meno sospetto il sito malevolo finale, poiché la vittima passa prima attraverso servizi dall’aspetto legittimo.

«L'operazione sfrutta in modo improprio la legittima piattaforma di gestione delle risorse umane PeopleForce, basata su cloud, e un dominio associato al servizio Salesforce Marketing Cloud, per poi reindirizzare il destinatario verso una pagina di destinazione dannosa.»

BleepingComputer ha osservato che la campagna è in corso da almeno cinque mesi e prende di mira principalmente chi ricopre ruoli nel settore del marketing. Dalle nostre indagini emerge che il phishing legato al mondo del lavoro è estremamente diffuso e risulta probabilmente particolarmente efficace in un momento in cui le posizioni di livello base rimangono altamente competitive e l’intelligenza artificiale continua a plasmare il mercato del lavoro.

Come stare al sicuro

Campagne come queste dimostrano come le truffe basate sull'intelligenza artificiale stiano trasformando il mondo delle truffe, del furto d'identità e dei modi in cui gli hacker sfruttano la fiducia delle persone.

Come ha scritto Stefan Dasic in un post su una campagna simile volta a sottrarre Facebook tramite phishing:

«La migliore protezione non è riconoscere la truffa, ma sapere che nessun processo di assunzione legittimo ti chiederà mai di autenticarti tramite una pagina sconosciuta, che sia spacciata per Google, Facebook o qualsiasi altra cosa. In caso di dubbio, chiudi la scheda, vai direttamente sul sito web dell’azienda e invia la candidatura alla vecchia maniera.»

Altri consigli utili sono:

  • Non cliccare sui link né aprire gli allegati contenuti nelle offerte di lavoro non richieste.
  • Utilizza un gestore di password. Non inserirà automaticamente il tuo nome utente e la tua password di Google su un sito web fasullo.
  • Utilizza unasoluzione anti-malwareaggiornata e in tempo reale dotata di protezione web.

Consiglio da esperto:Malwarebytes Guardavrebbe aiutato a identificare questo attacco come una truffa.


C'è qualcosa che non va? Controlla prima di cliccare.  

Malwarebytes Guardti aiuta ad analizzare immediatamente link, messaggi e screenshot sospetti.  

Disponibile conMalwarebytes Premium per tutti i tuoi dispositivi eMalwarebytes per iOS Android.  

Provalo gratis → 

Informazioni sull'autore

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.