Meta Business e quelle strane email di richiesta partner che stanno arrivando a raffica: ecco cosa sta succedendo davvero e perché la faccenda merita attenzione. Negli ultimi giorni, diversi amministratori di pagine Facebook e account business hanno iniziato a segnalare la ricezione ripetuta di messaggi con oggetto “You’ve received a Business Manager partner request”. La cosa curiosa è che non si tratta delle solite email palesemente fasulle. Alcune di queste comunicazioni superano i controlli tecnici di autenticazione, il che rende tutto molto più insidioso del normale tentativo di phishing.
Perché queste email sembrano autentiche
Analizzando il sorgente di alcuni di questi messaggi, i controlli SPF, DKIM e DMARC risultano superati correttamente. L’invio avviene da un’infrastruttura riconducibile a Facebook, con dominio business.facebook.com. Niente errori grammaticali imbarazzanti, niente domini improbabili. Il tono è quello di una comunicazione operativa vera e propria, completa di avvisi antifrode, riferimenti a Meta Business Suite e istruzioni che appaiono del tutto coerenti con una reale richiesta partner. Questo è il punto che rende la situazione molto diversa dal classico tentativo di truffa via email.
Eppure, guardando più da vicino, le differenze tra un messaggio e l’altro saltano fuori. Cambiano alcune frasi, cambiano i link associati alla richiesta, cambia perfino il modo in cui viene presentata l’origine dell’invito. In un caso, per esempio, compare la dicitura “Join the Meta Agency Partner Invoice Program”, con un link del tipo m.me/MetaAgencypartner?ref=Agency. In altri messaggi, al posto dell’origine dell’invito compare una formula generica come “See requirements”, seguita da un link diverso. Una variabilità che appare anomala per notifiche che, almeno sulla carta, dovrebbero provenire tutte dallo stesso sistema di Meta Business.
Come funziona davvero la richiesta partner su Meta Business Manager
Le richieste partner esistono davvero all’interno di Meta Business Manager. La documentazione ufficiale di Meta spiega che un partner, ad esempio un’agenzia con cui si collabora, può essere aggiunto al portfolio business per condividere l’accesso ad alcuni asset aziendali, senza però concedere il controllo completo dell’intera struttura. Il percorso è piuttosto lineare: si passa dalle impostazioni di Meta Business Suite, si entra nella sezione Partners, da lì è possibile aggiungere un partner e assegnare risorse specifiche.
Quando il rapporto con chi invia la richiesta è già noto e verificato, la procedura è assolutamente normale e sicura. Il problema nasce nel momento in cui la richiesta arriva da un soggetto sconosciuto, ambiguo o non autorizzato. In quel caso, accettare significherebbe potenzialmente aprire le porte del proprio account business a qualcuno di cui non si conosce l’identità reale. Il fatto che queste email arrivino con un livello di sofisticazione tecnica superiore alla media rende il rischio ancora più concreto, soprattutto per chi gestisce account Meta Business senza particolare esperienza nella verifica delle comunicazioni ricevute.
Le segnalazioni non riguardano soltanto singoli utenti ma anche caselle aziendali, il che suggerisce una diffusione piuttosto ampia del fenomeno. Chiunque amministri pagine Facebook o gestisca account business farebbe bene a verificare con estrema cautela qualsiasi email di richiesta partner ricevuta in questo periodo, controllando manualmente dall’interno di Meta Business Suite se la richiesta esiste davvero, senza mai cliccare direttamente sui link contenuti nel messaggio.
