Team MailSniper
Autore
Sara Contini, ragioniera della Logistica Padana Srl, stava finendo il cappuccino quando la notifica di Outlook lampeggiò. Una mail dal dominio aziendale del CEO, Marco Bassetti. Oggetto: "Urgenza - Bonifico fornitore Cina".
Aprì la mail. Il tono era secco, nervoso: "Sara, ho bisogno che processi questo bonifico entro mezzogiorno. Il fornitore ha bloccato la spedizione. Dettagli allegati. Non chiamarmi, sono in riunione."
Sara conosceva quel tono. Marco era fatto così, diretto, sempre di freta. Scaricò il file PDF con le coordinate bancarie e aprì la home banking.
Fu il collega di ufficio, Michele, a fermarla.
"Aspetta. Marco è in ufficio, l'ho visto cinque minuti fa."
Sara alzò gli occhi dal monitor. Guardò la mail. Qualcosa la colpì, ma non sapeva cosa. Il browser era diverso dal solito. L'indirizzo IP... non ci aveva fatto caso.
Quella mail non era di Marco Bassetti. Era di qualcuno che aveva violato il suo account Microsoft 365 tre giorni prima, studiando i suoi pattern di scrittura, aspettando il momento giusto.
Il bonifico da 340mila euro non partì mai.
Non perché Sara fosse particolarmente attenta. Ma perché il sistema antispam dell'azienda, quello con l'intelligenza comportamentale, aveva segnalato l'anomalia tre minuti prima che lei aprisse il file.
Ogni anno, in Italia, migliaia di aziende cadono in truffe di questo tipo. Il fenomeno ha un nome tecnico: Account Takeover, o ATO. In pratica, un criminale riesce a impossessarsi di un account email aziendale — spesso quello del CEO, del direttore commerciale, o della ragioneria — e lo usa per ingannare i dipendenti.
Non stiamo parlando delle vecchie mail "hai vinto una lottery nigeriana". Questi attacchi sono chirurgici. Il malvivente studia l'azienda, imita il linguaggio del titolare, aspetta il momento di massima urgenza. Spesso il risultato è un bonifico verso un conto estero che non verrà mai recuperato.
Il bello — per i criminali, non per noi — è che questi attacchi bypassano i filtri antispam tradizionali. Perché? Semplice: la mail è autentica. Arriva da un server legittimo, con SPF e DKIM corretti, da un account che risulta effettivamente attivo. Il filtro guarda la provenienza, non il comportamento.
E qui entra in gioco qualcosa di nuovo: l'intelligenza comportamentale, o behavioral AI.
Facciamo un passo indietro. Come diavolo fa un hacker a entrare nell'account di qualcuno?
Il metodo più comune oggi è il credential harvesting. L'impiegato riceve una mail che sembra provenire da Microsoft, con un link per "aggiornare la password". Inserisce le sue credenziali su un sito fasullo. L'hacker le raccoglie.
Un altro metodo è il token theft. Grazie a un phishing mirato, l'hacker ruba il token di autenticazione OAuth dell'account. Da quel momento può accedere senza conoscere la password.
Una volta dentro, il criminale non fa danni subito. Aspetta. Legge le mail passate. Studia come scrive il titolare dell'account: quali parole usa, a che ora invia i messaggi, chi sono i destinatari abituali, come chiude le mail.
Questa fase si chiama reconnaissance comportamentale. Può durare giorni o settimane. L'obiettivo è costruire un profilo credibile.
Quando l'hacker è pronto, entra in azione. Può creare una nuova regola di inoltro per copiare tutte le mail in uscita su un account esterno. Oppure, come nel caso di Sara, invia una mail urgente con un allegato malevolo o coordinate bancarie fasulle.
Il bello è che tutto sembra legittimo. L'indirizzo email è quello vero. Il dominio è quello aziendale. Il tono è quello del CEO.
E i filtri antispam tradizionali non hanno modo di saperlo.
Torniamo a quella mattina di martedì.
Quando l'hacker, dal suo computer in Ucraina, inviò la mail a Sara, il sistema di protezione email della Logistica Padana stava facendo qualcosa di diverso dal solito.
Non si limitava a controllare la reputazione del mittente o la presenza di link sospetti. Stava analizzando il comportamento.
Cosa significa? Significa che il sistema aveva imparato come Marco Bassetti scriveva le mail. Conosceva il suo stile: lunghezza media delle frasi, frequenza di certe parole, orari abituali di invio. Sapeva che Marco usava sempre un saluto formale all'inizio e chiudeva con "a presto".
La mail delle 9:47 non aveva il saluto formale. Era più breve del solito. Non conteneva la firma abituale. Era piena di punteggiatura strana — punti esclamativi, trattini.
Il sistema assegnò a quella mail un punteggio di rischio anomalo. Non perché contenesse malware. Non perché il link fosse malevolo. Ma perché il comportamento era sbagliato.
E fu così che l'allarme scattò prima del disastro.
Quella volta andò bene. Ma non sempre va così.
Nel 2023, un'azienda manifatturiera del Veneto perse 890mila euro in un colpo solo. Il responsabile commerciale ricevette una mail dal CFO — o meglio, da qualcuno che aveva violato l'account del CFO — con istruzioni per un bonifico urgente. Il bonifico partì. I soldi finirono in Lituania. Non li rividero mai.
I danni non sono solo economici. C'è il danno reputazionale: il cliente che non riesce più a fidarsi. C'è il danno legale: le azioni dei dipendenti che autorizzano pagamenti non dovuti possono avere conseguenze penali. C'è il danno operativo: le settimane di indagini interne, il blocco dei sistemi, la perdita di produttività.
E c'è il danno psicologico. Sara, dopo quell'episodio, passò due notti insonni. Si sentiva stupida per non aver notato i segnali. Non importava che il sistema l'avesse salvata. Lei si vedeva come la persona che quasi aveva svuotato il conto dell'azienda.
Come si difende un'azienda da attacchi del genere?
La prima cosa è la formazione. I dipendenti devono sapere riconoscere i segnali di allarme: mail urgenti che richiedono azioni immediate, richieste di bonifico verso conti nuovi, cambiamenti nel tono abituale del mittente.
Ma la formazione non basta. Gli esseri umani sbagliano, soprattutto quando sono sotto pressione.
Serve una seconda linea di difesa. Ed è qui che entra l'intelligenza comportamentale.
I sistemi moderni di protezione email — come MailSniper — non si limitano a controllare il contenuto della mail. Analizzano il contesto: chi invia, da dove, a che ora, con che pattern di scrittura. Confrontano il comportamento attuale con quello storico. Se qualcosa non torna, bloccano o segnalano.
In pratica, è come avere un assistente virtuale che conosce le abitudini di ogni dipendente e suona il campanello d'allarme quando qualcuno si comporta in modo anomalo.
Naturalmente, nessuna soluzione è perfetta. L'intelligenza comportamentale riduce il rischio, non lo elimina. Ma spesso basta anche solo rallentare l'attacco — quel rallentamento che dà al collega di ufficio il tempo di dire "aspetta, Marco è in ufficio"
Quella mattina, Sara ha avuto fortuna. Il collega è passato nel momento giusto.
Ma quante altre aziende non hanno avuto questa fortuna? Quanti bonifici sono partiti verso conti che non esistevano più il giorno dopo?
La verità è che i criminali non hanno bisogno di essere geni. Devono solo aspettare che qualcuno non faccia la domanda giusta al momento giusto.
La prossima volta che ricevi una mail urgente dal capo, fermati un secondo. Chiediti: è lui che la sta scrivendo, o è qualcuno che sta fingendo di essere lui?
E soprattutto: il tuo sistema di posta è in grado di dirtelo prima che sia troppo tardi?
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl gruppo hacker nordcoreano ScarCruft sta inviando email che sembrano notifiche di sicurezza Microsoft per installare NarwhalRAT, un malware che ruba dati sensibili. Il costo medio di un attacco di questo tipo per una PMI italiana? Oltre 250.000 euro tra riscatto, downtime e danno reputazionale. Ma la protezione costa una frazione.
LeggiImmagina di chiedere al tuo assistente AI di cercare un documento. Quello che non sai è che qualcuno, con un semplice click, poteva leggere le tue email, i tuoi file e persino i codici MFA. È successo davvero.
LeggiI ricercatori hanno scoperto che PCPJack ha usato 230 nodi cloud come relay email. Il problema? I tool esposti online hanno rivelato tutto. Ecco come capire se il tuo server è stato già compromesso e come difenderti.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.