La truffa che non è una truffa: come funzionano gli inviti Meta ingannevoli. Ecco un interessante esempio della nuova frontiera di qualcosa che non è phishing e che nemmeno ha ancora un nome preciso che lo definisca. Apre una zona grigia ed è pure legale. Scopri con noi la manipolazione semantica e comportamentale
A proposito di inviti Meta… Anche oggi, nella posta elettronica arriva il milionesimo avviso con cui vengo invitato perentoriamente: “Action required: You’re invited to join the Meta Agency Partner Program growth.agency-partner-manage…”.
Un titolo che porta con sé un indizio fortissimo di phishing. Ma siccome sono curioso come un gatto, prima di cestinare l’email come spam gli do un’occhiata più approfondita…
A laughable attempt, mi verrebbe da rispondere. Eppure arriva da notification@facebookmail.com che è uno dei pochi indirizzi ufficiali utilizzati da Meta per inviare notifiche automatiche, inclusi inviti a Business Manager, richieste di accesso, alert di sicurezza eccetera.
Faccio la prova del nove… fanno riferimento a un sito, quindi in una finestra anonima lo inserisco: growth.agency-partner-manage.com. Che – voilà – non esiste.
Banale dire che se un dominio indicato in un’email Meta non appare nemmeno digitandolo nel browser, la traduzione pratica dovrebbe essere che l’invito non È affidabile.
Perché un dominio autentico può essere: invisibile ai motori, protetto, richiedere login, redirigere subito, ma non può risultate “inesistente”.
Il trucco c’è ma non si vede (subito)
Adesso viene il bello, almeno se siete abbastanza scaltri e altrettanto curiosi da aprire il sorgente dell’email per vederne la struttura informatica. Qui si vede chiaramente che:
- Received: from 69-171-232-141.mail-mail.facebook.com
- From: “Facebook” <notification@facebookmail.com>
- dkim=pass header.d=facebookmail.com
- dmarc=pass (policy=reject) header.from=facebookmail.com
- spf=pass … domain of notification@facebookmail.com designates 69.171.232.141 as permitted sender
→ SPF, DKIM e DMARC tutti PASS per facebookmail.com.
Quindi… l’email è effettivamente partita dai server di Meta e non è una copia falsificata. Oltretutto…
- X-Facebook: … by business.facebook.com with HTTPS (ZuckMail);
- X-Facebook-Notify: brand_role_request_unreg
- X-Mailer: ZuckMail [version 1.00]
Anch’essi header tipici delle notifiche ufficiali Meta, che portano a dire che l’email è proprio autentica. Quindi è una vera notifica di Business / Brand Role e non una mail “fatta a mano” da un truffatore.
Però… il famigerato growth.agency-partner-manage.com di cui prima è ancora lì che mi arrovella ed inficia tutta questa evidenza. Infatti è qui che c’è il trucco semantico, non tecnico. Nel testo, si legge:
Meta Agency Support invited you to join the Meta Agency Partner Program growth.agency-partner-manage.com business portfolio.
Quella stringa non è il dominio di un link esterno. È il nome del portfolio aziendale (Business Portfolio) creato da qualcuno, che l’ha chiamato “Meta Agency Partner Program growth.agency-partner-manage.com” per farlo sembrare ultra ufficiale.
- Cos’è un Business Portfolio
Un Business Portfolio è semplicemente un contenitore interno del Business Manager che raggruppa pagine, account pubblicitari, pixel e asset vari sotto un’unica etichetta aziendale. È un nome arbitrario scelto dall’utente o dall’agenzia che lo crea, e non ha alcun valore “ufficiale” o certificato da Meta: è puro branding interno.
Non viene mai usato come URL cliccabile e quando si clicca su View invitation, il link vero è: https://business.facebook.com/invitation/?token=Afk1m4p9… che porta su business.facebook.com e non su un dominio esterno.
Per cui, se digitate a mano growth.agency-partner-manage.com e non esiste a livello DNS, significa siete di fronte a fuffa marketing ovvero fumo negli occhi. Tradotto:
✅ Non c’è un reindirizzamento strano verso domini esterni.
✅ Tutti i link seri puntano a business.facebook.com o facebook.com.
✅ Il dominio sospetto è solo un’etichetta che qualcuno ha messo per impressionare.
È sicuro cliccare? Dal punto di vista “furto credenziali / malware” se cliccate sul bottone View invitation venite trasferiti su: https://business.facebook.com/invitation/?token=…
Perciò:
- verrete reindirizzati alla solita schermata di login Meta (se non siete già loggati),
- poi vedrete il contenuto dell’invito dentro Business Manager.
Da questo lato, non è phishing. È un invito reale gestito dall’infrastruttura Meta.
Ma dove sta il rischio?
Il rischio non è “mi rubano la password”, ma è che…
vi agganciate inconsapevolmente come partner / utenti a un portfolio di qualcun altro che si chiama pomposamente “Meta Agency Partner Program growth.agency-partner-manage.com”.
Accettando questo invito e pensando di collegarvi a qualche programma Facebook, in base ai permessi:
- potreste dare visibilità ad alcuni vostri asset,
- o far figurare la vostra azienda come partner / cliente gestito da questa struttura,
- o permettere a quell’account di proporsi come “agenzia” che vi gestisce.
Quindi il vero tema è:
Chi è realmente “Meta Agency Support” che vi invita? È Meta? O è un’agenzia terza che si fa chiamare così?
Spoiler: sicuramente è un’agenzia terza che ha:
- nome business → Meta Agency Support
- portfolio → Meta Agency Partner Program growth.agency-partner-manage.com
Molto borderline a livello di naming, ma tecnicamente ammesso: è solo branding interno su Meta. Meta dovrebbe impedirlo? Assolutamente sì. Perché non lo fa? Assolutamente boh. Vi protegge? Meglio farvi una domanda di riserva…
A chi può capitare?
Questa dinamica colpisce soprattutto chi usa gli strumenti Meta in modo non specialistico: freelance che gestiscono da soli le proprie pagine, piccole agenzie che lavorano con più clienti, PMI che delegano la parte social alla segreteria o al responsabile amministrativo, professionisti che hanno un Business Manager attivo ma non ne conoscono davvero la struttura. In tutti questi casi, un invito formulato con un naming “furbo” può sembrare credibile e indurre ad accettare qualcosa senza capirne le implicazioni.
Gli inviti Meta fuorvianti, in breve
- Questo genere di email è autentica Facebook / Meta, non phishing tecnico.
- Il “growth.agency-partner-manage.com” o qualunque cosa vi arrivi è un nome messo lì per sembrare ufficiale, ma non è un dominio reale.
- I link importanti puntano tutti a business.facebook.com il che è ok lato sicurezza.
- Il vero rischio è relazionale / di controllo asset, non di furto credenziali. Ma se usate Facebook per lavoro, quindi il Business Manager, dovreste ben sapere o immaginare a cosa andate incontro.
Personalmente lo definirei: “a pathetic attempt to look like an official Meta program”, ma vaglielo a spiegare in due parole alla segretaria che tra poco ti scriverà per dirti che ha ricevuto un invito importante. O al cliente che ti dice che non capisce perché “gli stanno succedendo all’improvviso un sacco di cose strane”.
Oggi si dice gergalmente “scammed”, una volta “guarda che ti hanno tirato un pacco”.
Suggerimento agli amici di Meta: dovreste impedire l’uso di nomi ingannevoli nei Business Portfolio e nelle etichette interne, perché la libertà totale di naming crea confusione, facilita pratiche borderline e genera rischi di affidamento improprio da parte degli utenti meno esperti.
