Phishing aziendale: come funziona un attacco reale e cosa fa davvero la differenza
Il 90% degli attacchi informatici inizia con una email. Non con exploit tecnici sofisticati: con un'email credibile che qualcuno apre. Come funzionano questi attacchi e cosa protegge davvero le PMI.
Redazione
Consulenza Digitale Italia
Un fornitore storico manda una email: cambio di coordinate bancarie, bonifico in arrivo da girare al nuovo IBAN. Tutto sembra normale — nome giusto, firma giusta, tono familiare. Qualcuno in amministrazione fa il bonifico. I soldi arrivano su un conto di un truffatore in un paese terzo.
Questo schema si chiama BEC — Business Email Compromise. Costa alle aziende miliardi ogni anno. E inizia con una email.
Come funziona davvero un attacco
Molte PMI immaginano gli attacchi informatici come intrusioni tecniche: hacker che forzano password, exploit che bucano sistemi. Succede, ma è raro come vettore iniziale. La stragrande maggioranza degli attacchi inizia con la persona, non con il sistema.
Il flusso tipico di un attacco di phishing avanzato:
Ricognizione. Prima di mandare l'email, l'attaccante studia il bersaglio. LinkedIn per capire l'organigramma. Il sito aziendale per nomi, ruoli, fornitori. Email pubbliche per capire il formato degli indirizzi. In pochi minuti si costruisce un profilo credibile.
Preparazione. Si registra un dominio simile a quello reale (fornitore.it → fornitori.it, oppure fornitore.it → fornitore-fatture.com). Si crea una casella email. Si studia lo stile di comunicazione della persona da impersonare.
Invio. Si manda una email credibile che chiede qualcosa di plausibile: un cambio IBAN, l'approvazione urgente di una fattura, le credenziali per accedere a un sistema condiviso.
Incasso. Chi riceve l'email non ha nessun motivo per sospettare. Fa quello che viene chiesto.
Perché i filtri tecnici non bastano
I filtri antispam sono migliorati molto. Bloccano milioni di email malevole ogni giorno. Ma non riescono a bloccare email che:
- Arrivano da un dominio legittimo appena registrato (non ha ancora una reputazione negativa)
- Non contengono link malevoli o allegati (solo testo e una richiesta)
- Sembrano del tutto normali perché l'attaccante ha fatto i compiti
Un'email che chiede di cambiare le coordinate bancarie di un fornitore non ha niente di tecnicamente sospetto. È testo normale. Il filtro non può sapere che le coordinate sono false.
Cosa funziona davvero
Procedure per i bonifici. La misura più efficace contro il BEC non è tecnica: è un processo. Qualsiasi cambio di coordinate bancarie di un fornitore richiede una telefonata di verifica al numero già in rubrica (non a quello nell'email). Due approvazioni per bonifici sopra una certa soglia. Regole semplici che rendono inutile la frode anche se l'email passa tutti i filtri.
Autenticazione a due fattori. Se qualcuno ruba una password, l'autenticazione a due fattori rende quella password inutile. È la misura con il miglior rapporto costo/efficacia nella sicurezza aziendale. Va abilitata almeno su email, sistemi gestionali e VPN.
Simulazioni di phishing. Mandare periodicamente email false ai dipendenti — costruite esattamente come le email reali di phishing — per vedere chi ci casca. Chi apre il link o inserisce le credenziali riceve una formazione immediata nel momento in cui è più ricettivo. Funziona molto meglio delle presentazioni teoriche.
Controllo DMARC. Configurare DMARC sul dominio aziendale impedisce ai truffatori di mandare email che sembrano provenire dal tuo dominio. Non protegge chi riceve email false, ma protegge i tuoi contatti da chi si finge te.
La risposta all'incidente
Anche con tutte le precauzioni, qualcosa può passare. La differenza tra una PMI che si riprende velocemente e una che subisce danni gravi spesso sta in quanto tempo passa prima che qualcuno si accorga del problema.
Un piano minimo: chi chiama in caso di incidente (un riferimento interno, un fornitore IT), come si blocca immediatamente l'accesso ai sistemi compromessi, come si contatta la banca nel caso di bonifici fraudolenti. I bonifici internazionali a volte possono essere bloccati se si agisce entro poche ore.
Non serve un piano elaborato. Serve sapere cosa fare nei primi 30 minuti.
Leggi anche:
Tag
Domande Frequenti
Come riconosco un'email di phishing sofisticata?
Le email di phishing avanzate sono difficili da riconoscere a prima vista. I segnali da cercare: mittente che non corrisponde esattamente al dominio reale (es. @microsoft-support.com invece di @microsoft.com), urgenza artificiale ('il tuo account verrà sospeso'), link che al passaggio del mouse mostrano URL diversi dal testo, richieste di credenziali o bonifici fuori dai processi normali. Il segnale più affidabile è l'anomalia rispetto alla routine: un'email che chiede qualcosa che non viene mai chiesto in quel modo.
Vale la pena formare i dipendenti sul phishing o è tempo perso?
La formazione funziona, ma dipende da come viene fatta. Una presentazione PowerPoint annuale non produce nessun cambiamento comportamentale misurabile. Simulazioni di phishing reali — email false inviate ai dipendenti per testare le reazioni — producono risultati concreti: le persone che 'cadono' nella simulazione imparano molto di più di quelle che ascoltano una lezione teorica.
Quali strumenti tecnici proteggono meglio dalle email di phishing?
I filtri antispam avanzati (Microsoft Defender for Office 365, Proofpoint, Mimecast) bloccano la maggior parte delle email malevole prima che arrivino in casella. L'autenticazione email (SPF, DKIM, DMARC) riduce la possibilità che qualcuno mandi email falsificando il tuo dominio. L'autenticazione a due fattori sui sistemi critici rende inutile una password rubata. Nessuno di questi strumenti è infallibile da solo: la protezione efficace li combina.
Approfondisci
Esplora tutti gli articoli dell'archivio su digitalizzazione e AI per le PMI.