{"id":5335,"date":"2025-10-08T12:40:51","date_gmt":"2025-10-08T12:40:51","guid":{"rendered":"https:\/\/blog.truthscan.com\/?p=5335"},"modified":"2026-03-06T10:12:23","modified_gmt":"2026-03-06T10:12:23","slug":"minaccia-deepfake-per-salesforce","status":"publish","type":"post","link":"https:\/\/blog.truthscan.com\/it\/minaccia-deepfake-per-salesforce\/","title":{"rendered":"La minaccia di Deepfake a Salesforce: Quando la fiducia diventa un'arma"},"content":{"rendered":"

Nel giugno del 2025, un dipendente di Google ha ricevuto quella che sembrava essere una chiamata di routine dall'assistenza IT.<\/p>\n\n\n\n

La voce al telefono sembrava professionale, sicura e del tutto familiare.\u00a0<\/p>\n\n\n\n

Il tecnico ha chiesto al dipendente di approvare una nuova applicazione nel sistema Salesforce dell'azienda.<\/p>\n\n\n\n

In pochi minuti, gli aggressori hanno avuto accesso e hanno rubato 2,55 milioni di record di clienti dal CRM di Google.<\/p>\n\n\n\n

A renderlo possibile \u00e8 stato l'uso della tecnologia deepfake audio, con voci generate dall'intelligenza artificiale cos\u00ec convincenti da ingannare una delle forme di autenticazione pi\u00f9 affidabili, il riconoscimento della voce di un collega.<\/p>\n\n\n\n

Questo incidente, legato al gruppo ShinyHunters, mostra come gli aggressori stiano utilizzando l'intelligenza artificiale per penetrare nei sistemi aziendali.<\/p>\n\n\n\n

Essendo la spina dorsale della gestione delle relazioni con i clienti per milioni di organizzazioni in tutto il mondo, Salesforce \u00e8 diventato uno dei principali obiettivi di una nuova generazione di attacchi di social engineering basati sull'intelligenza artificiale.<\/p>\n\n\n\n

Perch\u00e9 Salesforce \u00e8 diventata un bersaglio di Deepfake<\/strong><\/h2>\n\n\n\n

La crescita di Salesforce l'ha anche trasformata in un grande obiettivo per il furto di dati.<\/p>\n\n\n\n

Poich\u00e9 tutto \u00e8 centralizzato, una singola violazione pu\u00f2 esporre milioni di dati di clienti di molte aziende diverse.<\/p>\n\n\n\n

Come osserva Tim West, responsabile dell'intelligence sulle minacce di WithSecure:<\/p>\n\n\n\n

\"Gruppi di hacker come Scattered Spider utilizzano il social engineering per accedere agli ambienti SaaS. I loro attacchi possono sembrare tecnicamente semplici, ma questo non li rende meno pericolosi\".<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

Secondo una nuova ricerca di WithSecure, l'attivit\u00e0 dannosa all'interno degli ambienti Salesforce \u00e8 aumentata notevolmente nel primo trimestre del 2025, con un aumento di venti volte dei rilevamenti rispetto alla fine del 2024.<\/p>\n\n\n\n

Come i deepfakes hanno alimentato la violazione di Salesforce<\/strong><\/h2>\n\n\n\n

Ci\u00f2 che rende particolarmente pericolosi i recenti attacchi \u00e8 il modo in cui la tecnologia deepfake si \u00e8 trasformata da uno strumento di nicchia a qualcosa che chiunque pu\u00f2 usare come arma.<\/p>\n\n\n\n

A differenza delle tradizionali violazioni di dati che penetrano direttamente nei database, i criminali informatici utilizzano ora il social engineering basato sulla voce, o \"vishing\". Con l'aumento dei deepfakes e della clonazione vocale AI, questi attacchi stanno diventando molto pi\u00f9 difficili da individuare.<\/p>\n\n\n

\n
\"\"<\/figure>\n<\/div>\n\n\n

La campagna di ShinyHunters contro i clienti Salesforce segue un efficace schema di gioco che combina l'ingegneria sociale tradizionale con l'inganno dell'IA all'avanguardia:<\/p>\n\n\n\n

Fase 1: raccolta di informazioni vocali<\/strong><\/h3>\n\n\n\n

Gli aggressori iniziano raccogliendo campioni audio da fonti pubbliche, presentazioni di dirigenti, conference call, video aziendali o post sui social media. <\/p>\n\n\n\n

Con appena 20-30 secondi di audio chiaro, possono creare cloni vocali convincenti.<\/p>\n\n\n\n

Fase 2: la chiamata di vishing di Deepfake<\/strong><\/h3>\n\n\n\n

Durante una chiamata di vishing, l'aggressore convince la vittima ad accedere alla pagina di configurazione delle app connesse di Salesforce e ad approvare una versione falsa dell'app Data Loader, camuffata con un marchio leggermente alterato.<\/p>\n\n\n\n

In questo modo, la vittima permette inconsapevolmente agli aggressori di rubare dati sensibili da Salesforce.<\/p>\n\n\n\n

Il livello di sofisticazione \u00e8 notevole. In alcuni casi, gli aggressori hanno utilizzato l'audio deepfake per impersonare i dipendenti e convincere il personale dell'help desk ad autorizzare l'accesso illecito. <\/p>\n\n\n\n

Questo rappresenta un'evoluzione significativa dal phishing vocale tradizionale, in cui gli aggressori fingevano semplicemente di essere figure autoritarie, all'impersonificazione potenziata dall'intelligenza artificiale, in cui possono effettivamente parlare come individui specifici.<\/p>\n\n\n\n

Fase 3: Sfruttamento di OAuth<\/strong><\/h3>\n\n\n\n

Una volta autorizzata l'applicazione dannosa, gli aggressori aggirano completamente l'autenticazione a pi\u00f9 fattori. <\/p>\n\n\n\n

Dopo l'approvazione dell'app fasulla, gli aggressori ottengono token OAuth a lunga durata, che consentono loro di bypassare l'autenticazione a pi\u00f9 fattori e di operare senza attivare i normali avvisi di sicurezza.<\/p>\n\n\n\n

Fase 4: Estrazione silenziosa dei dati<\/strong><\/h3>\n\n\n\n

Il Threat Intelligence Group di Google ha avvertito che un attore delle minacce ha utilizzato uno strumento Python per automatizzare il processo di furto dei dati per ogni organizzazione presa di mira; i ricercatori sono a conoscenza di oltre 700 organizzazioni potenzialmente colpite.<\/p>\n\n\n\n

Perch\u00e9 siamo vulnerabili alle voci dell'intelligenza artificiale<\/strong><\/h2>\n\n\n\n

Il successo di questi attacchi sfrutta un tratto umano fondamentale: la nostra tendenza a fidarci di ci\u00f2 che sentiamo dire. <\/p>\n\n\n\n

Secondo un recente studio globale, il 70% delle persone dichiara di non essere sicuro di poter identificare una voce reale da una clonata.<\/p>\n\n\n\n

Questa vulnerabilit\u00e0 \u00e8 aggravata negli ambienti aziendali dove il personale dell'help desk \u00e8 addestrato a essere disponibile e accomodante e il lavoro in remoto ha normalizzato le interazioni solo audio.<\/p>\n\n\n\n

Secondo il Global Threat Report 2025 di CrowdStrike, tra la prima e la seconda met\u00e0 del 2024 si \u00e8 registrato un aumento di 442% degli attacchi di phishing vocale (vishing), guidati da tattiche di phishing e impersonificazione generate dall'intelligenza artificiale.<\/p>\n\n\n\n

Il campanello d'allarme di $25 milioni di euro<\/strong><\/h2>\n\n\n
\n
\"\"<\/figure>\n<\/div>\n\n\n

Le implicazioni degli attacchi deepfake si estendono ben oltre Salesforce. <\/p>\n\n\n\n

Il furto con deepfake da $25 milioni di euro ai danni della societ\u00e0 di ingegneria Arup all'inizio del 2024, in cui gli aggressori hanno utilizzato l'intelligenza artificiale per impersonare diversi dirigenti durante una videochiamata, ha dimostrato che nessuna organizzazione \u00e8 immune da questa minaccia. <\/p>\n\n\n\n

Attacchi simili hanno preso di mira anche dirigenti di diversi settori, tra cui il tentativo di impersonare l'amministratore delegato della Ferrari Benedetto Vigna utilizzando chiamate vocali clonate dall'intelligenza artificiale che imitavano il suo accento italiano meridionale.<\/p>\n\n\n\n

Questi incidenti rappresentano ci\u00f2 che gli esperti di sicurezza chiamano \"frode del CEO 2.0\", attacchi che vanno oltre la semplice impersonificazione dell'e-mail per creare inganni multisensoriali che possono ingannare anche dirigenti esperti.<\/p>\n\n\n\n

Sicurezza della piattaforma e vulnerabilit\u00e0 umana<\/strong><\/h2>\n\n\n\n

Salesforce si \u00e8 affrettata a sottolineare che queste violazioni non rappresentano vulnerabilit\u00e0 della piattaforma stessa. <\/p>\n\n\n\n

Salesforce ha riconosciuto la campagna di UNC6040 nel marzo 2025, avvertendo che gli aggressori impersonavano il supporto IT per ingannare i dipendenti e indurli a fornire credenziali o ad approvare applicazioni collegate dannose. <\/p>\n\n\n\n

L'azienda ha sottolineato che questi incidenti non hanno coinvolto o avuto origine da alcuna vulnerabilit\u00e0 della sua piattaforma.<\/p>\n\n\n\n

Questo dimostra una sfida importante per tutti i fornitori di SaaS: capire come fermare gli attacchi che giocano sulla fiducia umana invece che sui difetti tecnici.<\/p>\n\n\n\n

Salesforce ha implementato diverse misure difensive:<\/p>\n\n\n\n

    \n
  • Protezione delle app connesse: Disabilitazione automatica delle app connesse non installate per i nuovi utenti<\/li>\n\n\n\n
  • Limitazioni del flusso OAuth: Disabilitazione delle connessioni ottenute con determinati processi di autorizzazione<\/li>\n\n\n\n
  • Monitoraggio migliorato: Rilevamento migliorato dei modelli di autorizzazione delle applicazioni sospette<\/li>\n\n\n\n
  • Formazione degli utenti: Pubblicare una guida per riconoscere i tentativi di social engineering<\/li>\n<\/ul>\n\n\n\n

    Nell'agosto 2025, Salesforce ha chiuso tutte le integrazioni con le tecnologie Salesloft, compresa l'app Drift, dopo aver scoperto che i token OAuth erano stati rubati in attacchi correlati. <\/p>\n\n\n\n

    Gli esperti di sicurezza avvertono ora che i team devono ascoltare i sottili indizi, come strane pause, rumori di fondo o difetti audio, che possono rivelare quando una voce \u00e8 stata generata dall'IA.<\/p>\n\n\n\n

    La risposta aziendale: Oltre le soluzioni tecnologiche<\/strong><\/h2>\n\n\n\n

    Le organizzazioni stanno iniziando a riconoscere che per difendersi dagli attacchi deepfake-enhanced non bastano le soluzioni tecnologiche, ma occorre un ripensamento fondamentale dei processi di fiducia e verifica.<\/p>\n\n\n\n

    Comunicazione a fiducia zero<\/strong><\/h3>\n\n\n\n

    RealityCheck di Beyond Identity fornisce a ogni partecipante un badge di identit\u00e0 visibile e verificato, supportato da un'autenticazione crittografica dei dispositivi e da controlli continui dei rischi, attualmente disponibile per Zoom e Microsoft Teams. <\/p>\n\n\n\n

    Queste soluzioni rappresentano un cambiamento verso i modelli \"mai fidarsi, sempre verificare\" per la comunicazione aziendale.<\/p>\n\n\n\n

    Programmi di formazione avanzati<\/strong><\/h3>\n\n\n\n

    Le organizzazioni che utilizzano la piattaforma di simulazione deepfake di Resemble AI riportano una riduzione fino a 90% degli attacchi riusciti dopo l'implementazione della piattaforma, che utilizza simulazioni iperrealistiche per illustrare come si svolgono gli attacchi deepfake nel mondo reale.<\/p>\n\n\n\n

    Verifica multicanale<\/strong><\/h3>\n\n\n\n

    Le organizzazioni leader stanno implementando protocolli che richiedono la verifica attraverso pi\u00f9 canali per qualsiasi richiesta ad alto rischio, indipendentemente dall'autenticit\u00e0 della comunicazione iniziale.<\/p>\n\n\n\n

    Quando la voce non \u00e8 pi\u00f9 verit\u00e0<\/strong><\/h2>\n\n\n\n

    La minaccia deepfake a Salesforce e ad altri sistemi aziendali rappresenta un punto di inflessione nella storia della cybersicurezza. <\/p>\n\n\n\n

    Per la prima volta, gli aggressori non si limitano a impersonare figure autoritarie, ma sono in grado di parlare come loro, di assomigliare a loro e di convincere persino professionisti della sicurezza addestrati a intraprendere azioni che compromettono la sicurezza dell'organizzazione.<\/p>\n\n\n\n

    In un'epoca di inganni generati dall'Intelligenza Artificiale, la fiducia deve essere guadagnata attraverso la verifica, e non presunta attraverso la familiarit\u00e0.<\/p>\n\n\n\n

    Le aziende che comprendono questo aspetto e investono negli strumenti, nei processi e nella cultura giusti saranno nella posizione migliore per proteggere sia la sicurezza che la fiducia in un mondo digitale sempre pi\u00f9 incerto.<\/p>\n\n\n\n

    In questa nuova realt\u00e0, la voce all'altro capo del filo potrebbe non essere quella che sembra.<\/p>\n\n\n\n

    Nell'era dei deepfakes, la costante vigilanza \u00e8 il prezzo della sicurezza.<\/p>","protected":false},"excerpt":{"rendered":"

    Nel giugno 2025, un dipendente di Google ha ricevuto quella che sembrava essere una chiamata di routine da [...]<\/p>","protected":false},"author":15,"featured_media":5339,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"rank_math_lock_modified_date":false,"_themeisle_gutenberg_block_has_review":false,"footnotes":""},"categories":[31],"tags":[],"class_list":["post-5335","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-helpful-ai-content-tips"],"_links":{"self":[{"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/posts\/5335","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/comments?post=5335"}],"version-history":[{"count":3,"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/posts\/5335\/revisions"}],"predecessor-version":[{"id":5343,"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/posts\/5335\/revisions\/5343"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/media\/5339"}],"wp:attachment":[{"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/media?parent=5335"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/categories?post=5335"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.truthscan.com\/it\/wp-json\/wp\/v2\/tags?post=5335"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}