Non Aprite Quella Posta
2° Puntata - Un messaggio dall'AD
20-06-2025
Questi messaggi sono particolarmente pericolosi, perché non contengono né allegati né link a siti malandrini, ma solo un breve messaggio:
Ciao Nome,
Sto entrando in una riunione a porte chiuse in questo momento e voglio che tu svolga un compito breve ma urgente. Rispondi con il tuo numero di cellulare e attendi il mio messaggio. Grazie
Sincero....
Il vero pericolo è nel display-name (cominciamo a chiamare le cose con il loro nome), ovvero nel nome che compare a sinistra dell’indirizzo del mittente. Nell’immagine che vedete qui sopra è:
Amministratore Delegato
ma nei casi reali è il nome dell’Amministratore Delegato o di uno dei membri dell’Alta Dirigenza.
Questo tipo di attcco si chiama: spoofing e consiste nell’alterare i dati di invio del messaggio per fingere di essere qualcuno che il destinatario conosce; in questo caso, il suo Amministratore Delegato.
Se la vittima, presa da un panico fantozziano, risponde al messaggio senza verificare che l’indirizzo che compare a destra del display-name sia realmente quello dell’AD, il danno è fatto: gli attaccanti avranno stabilito un contatto diretto e potranno passare alla seconda parte del piano, richiedendo altre informazioni o chiedendo di effettuare specifiche azioni; di solito, trasferimenti di denaro.
Il testo del messaggio può variare a seconda dei casi, ma comporta sempre una richiesta nei confronti della vittima:
Da: Diego Catellani <[email protected]>
Buongiorno
Abbiamo un pagamento di €15.480,77 da effettuare oggi. È disponibile a elaborare il pagamento ora?
Cordiali saluti
oppure:
Da: Visconte Cobram <[email protected]>
Ciao,
Ho un nuovo conto bancario e vorrei passare a questo. I miei nuovi dati bancari possono essere aggiornati nel prossimo pagamento?
Per favore, fammi sapere come procedere.
Come difendersi
Dato che questo tipo di messaggi non contiene elementi malevoli, è possibile che gli anti-virus del sistema di posta li lascino passare. Per difendersi, è necessario quindi agire su due piani diversi: uno informatico e uno umano.
-
I sistemi di posta devono essere configurati in modo da bloccare i messaggi che hanno come mittente le figure apicali della società, se questi non arrivano dal sistema di posta interno.
-
Gli utenti devono sapere come riconoscere un messaggio di spoofing e devono avere modo di segnalarli nel minor tempo possibile ai responsabili della sicurezza, in modo che possano bloccare il mittente.
La tempestività, nella segnalazione di questi messaggi, è fondamentale, perché spesso ne arriva più di uno (tre/quattro, al massimo, in modo da non insospettire i sistemi anti-SPAM) ed è quindi necessario un certo lasso di tempo per eliminarli dalle caselle di posta degli utenti prima che possano fare danno.
Come sempre, l’utilizzo degli smart-phone rende tutto più complicato, perché la visualizzazione dei messaggi, nello spazio ristretto dello schermo, rende più difficile verificare il reale mittente del messaggio.
Indicatori di compromissione
| Display-name | Nome e cognome dell'AD o di una figura apicale |
| Oggetto | Volto a suggerire un senso di urgenza, p.es.: “ADESSO” “Risposta rapida”. |
| Lingua | IT |
Approfondimenti
https://learn.microsoft.com/it-it/defender-office-365/anti-phishing-protection-spoofing-about