Quella email "urgente" dal tuo capo che ti chiede buoni regalo? Sembra una truffa fin troppo ovvia. Ma i moderni attacchi di phishing sono così raffinati che anche chi mastica tecnologia può cascarci. Ecco cosa succede davvero quando un tentativo di phishing va a segno — e perché conoscere la struttura di questi attacchi è il modo migliore per difendersi.
C'è una cosa che mi ha tenuto sveglio la notte quando l'ho scoperta. Parliamo di un'agenzia assicurativa, un click, e un bonifico da 42.000 euro evaporato nel nulla. Nessun malware. Nessuno strumento di hacking sofisticato. Solo un'email credibile e un momento di distrazione.
La parte assurda? Ogni singolo passaggio di quell'attacco ha lasciato tracce. Il problema era che nessuno le stava guardando.
Partiamo dalla dinamica classica. Arriva un'email che sembra identica a qualcosa di ufficiale — un avviso di sicurezza Microsoft, una notifica dalla tua banca, un messaggio da un collega. I caratteri sono giusti. Il logo pure. Il tono è urgente ma non allarmante.
Clicchi sul link senza pensarci troppo, perché sembra tutto legittimo.
E da quel momento, qualcuno dall'altra parte del mondo ha il tuo username e la tua password.
Ma ecco cosa in pochi sanno: l'attacco sta appena cominciando. Rubare le credenziali è solo il primo passo. Il danno vero arriva nei 30 minuti successivi, e va veloce — perché chi attacca conosce i tempi di rilevamento.
Una volta che un malintenzionato entra nel tuo account, di solito fa tre cose:
Primo, esporta la tua lista di contatti. Si crea così una mappa di tutte le persone con cui lavori — clienti, fornitori, partner. Sa esattamente chi colpire dopo.
Secondo, cerca nel tuo sistema specifiche parole chiave. Cerca termini come "fattura", "bonifico", "pagamento", "banca", "rinnovo". In questo modo capisce dove gira il denaro e chi se ne occupa.
Terzo, e qui sta il bello, crea regole di inoltro email invisibili. Ogni messaggio che ricevi viene copiato silenziosamente a un indirizzo esterno. Tu non vedi mai questa regola. Continui a usare la tua casella normalmente mentre qualcun altro osserva tutto.
Ecco perché il phishing funziona così bene. Non si tratta di rubare i tuoi dati direttamente. Si tratta di starsene buoni nella tua casella di posta, studiare le tue relazioni commerciali, e colpire nel momento perfetto.
Immaginiamo la scena. L'attaccante ha monitorato la tua email per qualche giorno. Ha visto conversazioni legittime tra te e il reparto contabilità di un cliente a proposito di un pagamento in arrivo. Conosce l'importo esatto. Sa come funziona il vostroro flusso di lavoro.
Poi, usando il TUO indirizzo email vero (non uno contraffatto), manda un messaggio a quel cliente. Il messaggio si inserisce nella conversazione reale che avete avuto la settimana scorsa. Il testo dice qualcosa come: "Ciao, il nostro partner bancario è cambiato. Usate questi nuovi dati per il bonifico."
Il team contabilità del cliente non ha motivo di dubitare. Il messaggio arriva dal tuo vero indirizzo. Fa riferimento a conversazioni reali. La tempistica ha senso.
Quando qualcuno si rende conto di cosa è successo, i soldi sono già spariti. I bonifici viaggiano veloci, e chi attacca sa esattamente come svuotare i conti prima che chiunque possa reagire.
Ecco la verità scomoda: le agenzie indipendenti e le piccole imprese non vengono prese di mira perché sono stupide o negligenti. Vengono attaccate perché si trovano esattamente nel punto giusto: dati preziosi, transazioni finanziarie, team IT ridotti all'osso.
Pensaci. Un'agenzia assicurativa gestisce premi consistenti. Ha informazioni dettagliate sui clienti. Elabora documenti sensibili ogni giorno. E spesso non ha un team di sicurezza dedicato che controlla tutto 24 ore su 24.
Questa combinazione è come lasciare le chiavi nell'accensione con il motore acceso. Chi attacca lo sa. Automatizza i propri attacchi per coprire un'area vasta, e conta sul fatto che la maggior parte delle persone non se ne accorgerà finché non sarà troppo tardi.
Ecco cosa mi fa sperare: questi attacchi lasciano tracce ovunque. Il problema non è che siano invisibili. È che nessuno le cerca.
Gli strumenti di sicurezza moderni riescono a rilevare i cosiddetti "viaggi impossibili". Se hai effettuato l'accesso alla tua email da Milano alle 9 del mattino e qualcuno ha provato a entrarci dall'Europa dell'Est alle 9:20, beh, è fisicamente impossibile. Il software di sicurezza lo individua subito.
Le regole di inoltro email vengono segnalate nel momento in cui vengono create. Ogni nuova regola che indirizza la tua posta verso un indirizzo esterno dovrebbe far scattare un allarme.
I tentativi di accesso da posizioni o dispositivi non riconosciuti dovrebbero richiedere una verifica aggiuntiva. Si chiama autenticazione a più fattori, ed è una delle cose più semplici che puoi fare per proteggerti.
Ti do alcuni passaggi pratici che funzionano davvero:
Attiva l'autenticazione a più fattori su tutto. Sì, è un po' scomodo. Ma fa la differenza tra qualcuno che accede al tuo account con una password rubata e qualcuno che viene bloccato e basta.
Controlla periodicamente le tue regole di inoltro email. Ci vogliono 30 secondi per verificare se c'è una regola che non hai creato tu. Se ne trovi una, cancellala subito e cambia la password.
Diffida di qualsiasi cambiamento nelle istruzioni di pagamento. Se qualcuno ti chiede di inviare denaro a un conto diverso, verifica con una telefonata a un numero che sai essere vero — non quello indicato nell'email.
Tieni d'occhio i tuoi avvisi di sicurezza. Quando la tua email o i tuoi servizi cloud segnalano un accesso sospetto, prendilo sul serio. Questi sistemi non sono perfetti, ma di solito hanno ragione quando notano qualcosa di anomalo.
Gli attacchi di phishing funzionano perché sfruttano la fiducia. Contano sul fatto che tu non metta in discussione qualcosa che sembra legittimo. Fanno affidamento su persone impegnate che non hanno tempo di esaminare ogni singola email.
Ma ecco il punto: non devi diventare paranoico. Devi solo essere consapevole. Capire come funzionano questi attacchi ti dà potere. La prossima volta che vedi un'email che crea urgenza — che ti chiede di cliccare un link, verificare la password, o cambiare i dettagli di pagamento — ti fermerai un secondo. Quel momento di pausa potrebbe essere esattamente ciò che serve per fermare un attacco.
State attenti là fuori. E ricordate: fidatevi, ma verificate.
Tag: ['phishing attacks', 'email security', 'multi-factor authentication', 'online privacy', 'wire fraud prevention', 'small business security', 'microsoft 365 security']