Secondo fonte Gartner 2025, la posta elettronica conserva il primato di principale vettore utilizzato dai cyber criminals per arrecare danno alle Organizzazioni, di qualunque tipologia ed estensione esse siano: ben il 75-90% degli attacchi informatici ha inizio tramite l’utilizzo delle e-mails, ove circa l’1,2% di tutti i messaggi inviati a livello globale è finalizzato a una qualche forma di frode o tentativo di controllare le azioni del destinatario (o i relativi sistemi) con finalità malevole. Il phishing, in particolare, continua a essere il metodo di primo contatto più diffuso nelle violazioni andate a buon fine, confermandosi come la tecnica – nelle sue innumerevoli declinazioni – più insidiosa e difficile da intercettare per gli esperti di settore.
Nello scenario tecnologico attuale, ancor più in contesti strutturati e ad alta densità di personale umano, le tecniche di sicurezza e-mail tradizionali non sono più sufficienti, in quanto limitate nella capacità di agire proattivamente e intercettare minacce complesse costruite da criminali le cui expertise tecniche sono di altissimo livello. I dati statistici di dettaglio contenuti negli ultimi report, infatti, riportano che le Organizzazioni hanno probabilmente sviluppato una certa resilienza nei confronti di metodologie di attacchi tradizionali (le e-mail caratterizzate da un contenuto palesemente fraudolento.), mentre nei confronti di tipologie più complesse e articolate gli elementi di vulnerabilità interni ed esterni sono decisamente significativi, e gli attaccanti sono ben consapevoli della possibilità di sfruttarli come punti di ingresso.
In sintesi, le minacce via e-mail possono essere raggrupate in alcune macro categorie, più o meno note. E’ fondamentale per operatori e manager comprendere in quale fattispecie l’attacco subìto ricada, in quanto la categoria stessa determina il tipo di reazione opportuna da intraprendere fin dai primi istanti della scoperta dell’evento.
- SPAM: messaggi non richiesti (direttamente o indirettamente), in generale ad alta frequenza e di natura commerciale o pretenziosa, per cui il destinatario non ha alcuna correlazione con il mittente.
- MALWARE: entità software distribuita tramite allegato e-mail o attraverso URL indirizzati verso contenuto malevolo, destinati a causare malfunzionamenti o danni ad assets tangili e intangibili dei sistemi target, con forte impatto su contesti operazionali, spesso associati alla capacità di prelevare dati digitali o ottenere il controllo di determinati sistemi.
- PHISHING: come richiama il nome stesso, tale categoria include diverse tipologie di minacce per cui il destinatario è portato a credere che il messaggio provenga da una fonte riconosciuta e fidata. L’obiettivo è convincere la vittima a intraprendere una qualche azione, come inserire credenziali di autenticazione in portali contraffatti per appropiazione indebita, nonchè effettuare pagamenti (BEC Business E-mail Compromise), frodi finanziarie, transazioni, cessione di beni materiali o immateriali.
- SPOOFING: detta anche IMPERSONATION, tale tecnica include la capacità dell’attaccante di assumere le caratteristiche fisiche o digitali di una persona, un brand, un ruolo apicale interno all’Organizzazione, o di qualunque altra tipologia di entità rappresentabile tramite una serie di attributi e caratteristiche peculiari.
- APT (Advanced Persiste Threat): generalmente correlato all’injection di un qualche malware sui sistemi dell’utente, grazie ad un utilizzo sapiente delle tecniche di phishing, ha l’obiettivo di ottenere l’accesso non autorizzato a una rete o a un insieme di sistemi. Tali minacce hanno la capacità di rimanere nascosti e latenti fino a quando non entrano in azione, periodicamente e ripetutamente, prelevando dati, compromettendo infrastrutture, distribuiendo ulteriori malware aggiuntivi.
Il ruolo della complessità
Emerge come le specifiche minacce risultino una combinazione di tecniche afferenti a più di una macro categoria, e quindi in grado di enfatizzarne le potenzialità, aumentando di conseguenza il livello di complessità dell’attacco e le possibilità di intercettarlo.
| Business E-mail Compromise |
Figure 1: scala di complessità e-mail threats (Barracuda, 2024)
Considerando, ad esempio, una attacco afferente all’ambito del phishing, è altamente probabile che vengano integrate anche tecniche di spoofing durante lo svolgimento dell’interazione vittima-attaccante: una volta ottenuta la fiducia del target, il cyber criminal può applicare ulteriori tecniche di furto dell’identità, come mascheramento indirizzo IP o locazione geografica, oppure falsificazione di documenti formali in termini di contenuto e layout, al fine di rendere la conversazione ancor più credibile e guadagnarsi la piena fiducia dell’interlocutore.
Un approccio di tipo proattivo e non meramente reattivo, di fatto alla base di qualunque strategia di cybersecurity, si rivela necessario per prevenire una continuazione efficace dell’attacco, aiutando la vittima – che spesso non ha alcuna formazione di settore specifica – ad accorgersi dell’evento in corso e comunicarne gli estremi al reparto aziendale preposto.
Tecniche di analisi del contenuto proattive e continuative
L’analisi del contenuto delle e-mails rappresenta un efficace quanto basilare processo preliminare, in alcuni casi sufficiente in scenari a ridotta complessità strutturale, per riconoscere contenuti inopportuni, ricadenti in una delle macrocategorie di minacce indicate nel paragrafo precedente.
I moderni sistemi di e-mailing, client e web-based, incorporano by default algoritmiche in grado di bloccare efficacemente – purchè attiviti – minacce di tipologia spam o phishing, garantendo all’utente la possibilità di ampliare la base dati su cui operare e la possibilità di bloccare il contenuto prima dell’effettivo recapito nella cassetta postale. Tuttavia, le contromisure inbox API-based non sono in grado di limitare del tutto i rischi correlati ad attacchi su larga scala, o costruiti secondo complesse tecniche semantiche/strutturali che sfruttano vulnerabilità psicologiche o di competenze del personale umano coinvolti nell’attacco.
NLP
Tra le numerose tecniche di advanced content-based detection, l’analisi semantica effettuata via NLP (Natural Language Processing) è una particolare metodologia afferente all’ambito dell’intelligenza artificiale, ad oggi tra le più efficaci nel rilevare minacce di phishing o spoofing: tali minacce ben si prestano a una prevenzione tramite l’analisi del contenuto, in quanto tipicamente veicolate attraverso formati testuali costruiti per apparire verosimili agli occhi dei bersagli, sfruttando elementi noti alla potenziale vittima, conferiti attraverso precedenti inconsapevoli interazioni (es. tramite sondaggi o questionari apparentemente innocui).
| Figure 2: componenti know-how NLP |
| TECNOLOGIE INFORMATICHE ALGORITMICHE |
NLP analizza il contenuto dell’e-mail in due passi. Il primo passo è un processo di formazione/addestramento che comprenda la vettorializzazione del testo, in un formato opportuno per l’intepretazione da parte dell’algoritmica intelligente a partire dal contenuto originale. In questo processo il testo, o eventualmente un contenuto multimediale incluso nell’e-mail, viene analizzato (rif. BERT – Bidirectional Encoder Representations from Transformers, 2018) e tradotto in un formato intelliggibile dall’algorimica di analisi, considerando anche aspetti semantici quali il tono del contenuto o sfumature riconducibili alla sfera dell’empatia (sentiment).
Gli algoritmi di addestramento ML vengono dunque alimentati con il risultato della traduzione al fine di addestrare modelli di machine learning ML e generare ulteriori dati arricchiti o specifici tag di output. Nella fase successiva vi è l’effettiva elaborazione di tale tipologia di informazioni opportunamente strutturate: si tratta della c.d. fase previsionale, ove l’output consiste in una vera a propria classificazione in base a parametri significativi e funzionali a segregare elementi ritenuti interessanti dall’algoritmica di analisi.
Le potenzialità di analisi e traduzione tramite una algoritmica BERT sono notevoli: essa è in grado di rilevare relazioni tra le parole (attention) utilizzate attraverso una scansione bidirezionale (in ambi i versi di lettura o ascolto del testo), addestrando la base di conoscenza che acquisisce così la capacità di clusterizzare il contenuto all’interno di categorie con diversi fattori di rischio. La componente di analisi del sentiment, inoltre, risulta fondamentale in tale tecnica utilizzata come contromisura alle minacce via e-mails: è proprio la capacità di convincere la potenziale di vittima di essere di fronte a uno scenario reale e quotidiano che permette all’attaccante di stabilire un canale di fiducia e incoraggiare l’intraprendere di particolari azioni a suo favore.
| Classifier Layer (CLS / SEP) |
Figure 3: sentiment BERT analysis (ref. Sadia, Kishwara & Basak, Sarnali. (2021). Sentiment Analysis of COVID-19 Tweets: How Does BERT Perform?. 10.1007/978-981-16-0586-4_33)
Strategie di attacco tramite analisi comportamentale (BEC)
Una BEC (Business E-mail Compromise) è una particolare tipologia di attacco verso le c.d. coorporate e-mails, deliberato e non opportunistico, afferente alle macro categorie di phishing/spoofing; i criminali si spacciano per una persona autorevole di un’Organizzazione (un CEO o una figura apicale) e cercano di ottenere informazioni sensibili sui dipendenti o spingerli a eseguire azioni che, verosimilmente, afferiscono al loro ambito operativo quotidiano..
Si tratta di una minaccia che per essere efficace, dalla prospettiva del malintenzionato, non può prescindere da una analisi comportamentale delle abitudini routinarie della malcapitata vittima, in quanto la componente di adescamento richiede inevitabilmente che il testo dell’e-mail contenga la presenza di spiccati elementi routinari. Da una prospettiva comportamentale, inoltre, la ripetitività di talune operazioni abbassa la soglia di attenzione del target il quale si vede recapitata una richiesta semanticamente simile a tante altre che ha già serenamente gestito.
L’analisi comportamentale con scopi malevoli è abilitata dopo aver ottenuto l’accesso a una specifica casella e-mail compromessa, attraverso furto di credenziali, man-in-the-middle, backdoors presenti in sistemi contaminati da malware, o anche tramite la creazione di un canale di comunicazione diretto con la vittima, ad esempio tramite ulteriori sistemi di messaggistica non sicuri e unsanctioned (non autorizzati dall’Organizzazione).
Una volta ottenuto l’accesso alla casella e-mail o al suo contenuto, il cybercriminal effettua una content in-deep analysis orientata a ottenere inforrmazioni specifiche dell’ambito operazionale del contesto, tra cui le ultime attività aziendali, incarichi e mansioni, interlocutori più frequenti, customer base, partecipazioni a eventi di formazione e marketing.
L’obiettivo fondamentale, dalla prospettiva dell’attaccante, è costruire in prima istanza un modello di e-mails in grado di superare sistematicamente sia la white-list del client (o del provider di posta), sia le barriere umane basate su expertise e competenze delle vittime stesse. Un livello di targeting così specializzato è in grado di abbattere contromisure bloccanti e ottenere una prima fondamentale vittoria, permettendo al criminale di recapitare la mail direttamente nella casella di posta, auspicandone la relativa lettura e una conseguente azione.
| Figure 4: tipico workflow di una minaccia BEC dalla prospettiva del cyber criminal |
La fase di observation è chiave in termini di behavioral analysis: un fattore importante negli attacchi di tipo BEC, e che li differenzia rispetto ad altre tecniche di phishing o spoofing in contesti anche non business, è la pazienza messa in campo dall’attaccante. Dopo aver ottenuto il controllo della casella coorporate compromessa, non vi è immediatamente una azione di richiesta specifica verso la vittima, ma segue un periodo di studio delle attività in cui è coinvolto l’account e la persona assegnataria: accesso a conversazioni reali, acquisizione di elementi stilistici e semantici tipici del modo di scrivere della vittima e dei relativi collaboratori, modelli e i tempi di approvazione.
Molti cybercriminal aspettano trigger specifici, come i cicli di fatturazione, le scadenze del libro paga o le transazioni aziendali, prima di fare la loro mossa. Tale pazienza è una caratteristica distintiva degli attacchi BEC, che sono in genere lenti e deliberati piuttosto che opportunistici, scatenando tutta la capacità di analisi tecnica dei soggetti malintenzionati ben prima di arrivare al bersaglio definitivo. Durante la fase di osservazione, d’altronde, la presenza di un sistema intelligente di rilevamento minacce all’interno dell’infrastruttura dell’Organizzazione può costituire una contromisura fondamentale per bloccare il proseguimento dell’attacco.
Social Engineering
A corollario, tecniche di social engineering risultano largamente utilizzate negli attacchi BEC, con l’obiettivo di influenzare pesantamente i processi di decision-making, e la cui efficacia è direttamente proporzionale al livello di qualità dell’analisi comportamentale effettuate nella fase di observation:
- abuso di autorità (richieste perentorie provenienti da ruoli apicali),
- criterio di verosimiglianza a giustificazione fittizia di richieste percepite come straordinarie (“ricarica la prepaid card del CEO poichè non ha accesso ad altri strumenti di pagamento per saldare il taxi, al momento”),
- utilizzo di terminologia nota o in riferimento a reali contesti operativi in cui la vittima è coinvolta (nomi di progetto, acronomi interni),
- pressione emozionale (urgenza, danni presunti e inevitabili in caso di diniego).
E’ intuibile come la formazione interna possa essere fondamentale per contrastare le varie tipologie di social engineering, permettendo la costruzione di un set di competenze che porti gli utilizzatori degli strumenti di e-mail a riconoscere contenuti sospetti.
Contromisure minime RID/CIA e conclusioni
Gli spunti tecnici citati nei paragrafi precedenti rappresentano solo una minima parte delle minacce correlate a strumenti di e-mailing. La larghissima diffusione di tale canale di comunicazione rende il contesto estremamente appetibile per i cybercriminals, anche in considerazione della significativa presenza del fattore umano da considerare come preponderante nella relativa analisi del rischio.
E’ senza dubbio possibile identificare un portfolio di prevenzione di base che, a prescindere da qualunque contesto lo si applichi, può portare Organizzazioni e Enti a una significativa riduzione dei fattori di esposizione. Valutazioni successive sull’efficacia di tale set di contromisure minime possono portare all’adozione di modelli Zero Trust ancor più severi, ove nuove conclusioni post analisi del rischio aggiornato (continuous assessment) abbiano attestato che l’implementazione delle sole misure minime non comporti più una soglia di rischio accettabile.
Le casistiche in cui un account di posta elettronica viene inconsapevolmente compromesso, ovvero l’attaccante ne assume il controllo anche in sola lettura, sono senza dubbio le più gravi (40% of data breaches, IBM 2025), ma riducibili significativamente nel caso in cui vengano applicati strumenti fondamentali per preservarne la riservatezza.
- Imposizione di rigorose policies di applicazione MFA, o 3FA, in cui l’assegnatario della casella e-mail debba rispettare il paradigma di verifica a 2 o 3 fattori (knowledge-possession-ineherence).
- Protocolli Passwordless, tramite l’utilizzo di app di authenticator, magic codes, push notifications.
- Figure 5: modelli di autenticazione e-mail
Allo stesso modo, garantire integrità, identità e legittimità al contenuto dell’e-mail, purchè non compromessa a partire dall’autenticazione, rappresenta una contromisura fondamentale da realizzare: in molti casi risulta bloccante per l’attuazione di strategie di analisi comportamentale continuative applicate dai cybercriminals.
Rispetto alle tecnologie a disposizione per garantire la riservatezza/autenticazione, in tal ambito il livello di complessità tecnica è tuttavia maggiore e, di norma, richiede figure professionali, interne o esterne all’Organizzazione, con specifiche expertise di settore, nonchè una strategia di governance cybersecurity ben definita e rispettata. L’impatto derivante dalla relativa implementazione è inoltre, in effetti, di una certa rilevanza anche per gli operatori stessi (e-mails end-users), a prescindere dal livello di competenza e ruolo, e può necessitare di un’adeguata formazione specifica per l’utilizzo corretto e continuativo.
- S/MIME e PGP/GPG, certificate-based e end-to-end encyption a garanzia di integrità e identità del messaggio, a tutela di mittente e destinatario.
- Continuous Authentication: tramite l’utilizzo di algoritmiche intelligenti e adattative, abbatte l’assioma che una autenticazione riuscita, pur se con MFA o 3FA, equivalga a una legittimità continua, andando a convalidare costantemente che l’utente attuale rimanga chi afferma di essere.
- Analisi comportamentale biometrica (velocità di scrittura, movimenti del mouse, inclinazione dello smartphone).
- Analisi contestuale (IP, locazione geografica, id sistema, timestamp).
- Tipicità patterns di e-mailing (destinatari/mittenti tipici, tipologia di allegati, frequenza di invio e ricezione, argomenti e semantica).
È interessante osservare che anche nel contesto della posta elettronica, come di norma accade nel settore della cybersecurity, numerosi strumenti impiegati dagli attaccanti possono essere efficacemente utilizzati come contromisure dalle potenziali vittime. Non è infrequente, nella storia della sicurezza informatica, che numerosi attaccanti siano stati reclutati da Enti di Ricerca o Organizzazioni a contrasto del mondo del cyber crime, sfruttando l’elevatissimo livello di expertise maturata.
Igor Serraino è Professionista del settore dell’Ingegneria dell'Informazione.
Supporta aziende e organizzazioni attraverso attività di advisoring IT/OT, progettazione e sviluppo software SSDLC in ambienti Java-based, formazione specialistica e workshops ad alto valore aggiunto, contribuendo alla crescita delle competenze in ambito Cyber Security, Legal-Tech, GDPR e ISO/IEC 27001.
Autore di pubblicazioni e partecipazioni ad eventi di settore, è ISC2 CSSLP®, ISC2 CCˢᵐ, CBSP™ BlockChain.
