“Non cliccate sui link sospetti.”
Negli ultimi anni abbiamo ripetuto tutti lo stesso consiglio:
“Non cliccate sui link sospetti.”
Giustissimo.
Il problema è che oggi, in molti casi, il link sospetto non sembra più sospetto affatto.
In questi giorni è emerso un caso molto interessante: un executive C-level di Outpost24 è stato preso di mira con una campagna phishing particolarmente sofisticata. Non la classica email scritta male, piena di errori o inviata da un dominio improbabile.
Qui il livello è diverso.
L’attacco, secondo l’analisi usava una catena in più fasi: email credibile, apparente thread già esistente, firma DKIM valida, passaggio su infrastrutture fidate e redirect successivi fino ad arrivare a una finta pagina di login Microsoft 365 costruita per sembrare autentica. In mezzo, anche un controllo “human validation” tramite Cloudflare, pensato per mostrare la pagina vera solo a utenti reali e complicare il lavoro dei sistemi di analisi.
La parte più interessante, però, non è la tecnica in sé.
È il messaggio che lascia alle aziende:
non basta più chiedere alle persone di “stare attente”.
Perché quando un attacco usa servizi legittimi, domini conosciuti e meccanismi che fanno apparire il messaggio autenticato, il confine tra email legittima ed email malevola diventa molto più sottile. In questo caso, l’email risultava autenticata tramite DKIM e passava i controlli DMARC, pur senza un valido SPF, aumentando la probabilità di apparire affidabile ai sistemi di protezione email.
E qui c’è un tema che riguarda direttamente moltissime PMI italiane.
Molte aziende pensano ancora che il rischio cyber sia soprattutto ransomware, server cifrati o blocco della produzione. In realtà, spesso il vero ingresso è molto più semplice: una casella Microsoft 365 compromessa.
Da lì un attaccante può:
- accedere alle email,
- intercettare conversazioni commerciali,
- tentare frodi BEC,
- muoversi lateralmente su altri servizi cloud,
- recuperare documenti riservati,
- colpire amministrazione, direzione o ufficio acquisti.
Il punto è che l’identità oggi è il nuovo perimetro.
Se rubo la tua identità digitale, non ho bisogno di “bucare” la rete nel modo tradizionale. Entro dalla porta principale.
Per questo, secondo me, una riflessione va fatta subito:
quante aziende stanno ancora proteggendo gli account critici con metodi MFA che non sono realmente phishing-resistant?
Tradotto in termini pratici:
se oggi proteggi gli account più sensibili solo con password + codice OTP, hai già alzato il livello.
Tu nella tua azienda stai ancora puntando soprattutto su awareness e OTP, oppure hai già iniziato a valutare forme di autenticazione davvero phishing-resistant?
Cosa ne pensi?
#Cybersecurity #Phishing #Microsoft365 #IdentitySecurity #MFA #Passkeys #PMI #DataProtection