f in x
Phishing Avanzato: Spear Phishing, Whaling e Business Email Compromise — Guida Operativa
> cd .. / HUB_EDITORIALE > Visualizza in Inglese
Sicurezza Informatica

Phishing Avanzato: Spear Phishing, Whaling e Business Email Compromise — Guida Operativa

[2026-06-07] Author: Ing. Calogero Bono

Ti arriva una mail dal tuo CFO. Urgente. Chiede un bonifico immediato per un fornitore che non ricordi. L'indirizzo è quello giusto, il nome è quello giusto, il tono è quello giusto. Lo fai. Poi scopri che il CFO non ha mai scritto quella mail. I soldi sono spariti. Benvenuto nel mondo del Business Email Compromise (BEC). Non è phishing generico: è mirato, studiato, preparato su di te. E funziona.

Spear Phishing: quando il phishing diventa personalizzato

Il phishing classico lancia reti larghe: milioni di mail per catturare qualche pesce. Lo spear phishing punta un singolo bersaglio. L'attaccante raccoglie informazioni pubbliche (LinkedIn, sito aziendale, comunicati stampa, social) e costruisce un messaggio credibile. Non chiede mai "clicca qui per vincere". Chiede qualcosa di normale: scarica un documento, verifica una password, approva un pagamento.

Noi, di Meteora Web, lo vediamo ogni settimana nei progetti che ci arrivano. Aziende con fatturati seri che ricevono mail apparentemente dal loro commercialista — con tanto di nome, logo e riferimenti reali — per "aggiornare le coordinate bancarie". La richiesta sembra lecita. La vittima non ha motivo di dubitare.

Come si prepara un attacco spear phishing

L'attaccante segue uno schema preciso:

  • Ricerca: analizza la struttura aziendale, ruoli, nomi, email pubbliche, partner, fornitori.
  • Falsificazione: crea un dominio simile (es. azienda-support.com invece di azienda.com) o usa un indirizzo spoofato se il server non ha protezioni DMARC.
  • Costruzione del contesto: fa riferimento a un progetto in corso, a una scadenza fiscale, a una richiesta precedente.
  • Invio e follow-up: la mail può essere seguita da una telefonata (vishing) per aumentare l'urgenza.

Esempio reale: un nostro cliente ricevette una mail dal "responsabile IT" che chiedeva di installare un aggiornamento di sicurezza. Il link portava a un falso portale Microsoft 365. Chi inseriva le credenziali le regalava all'attaccante. La mail era perfetta: logo, footer, disclaimer.

Come difendersi dallo spear phishing

La difesa è culturale prima che tecnica. Ecco cosa funziona:

  • Verifica fuori banda: ogni richiesta di modifica dati bancari o pagamento urgente va confermata con una telefonata a un numero noto, non a quello nella mail.
  • Amore per i dettagli: controlla il mittente reale (non solo il nome visualizzato). I domini sospetti si vedono se alleni l'occhio.
  • MFA forte: l'autenticazione a più fattori blocca la maggior parte dei tentativi di credential harvesting.
  • Simulazioni periodiche: invia a tutto il personale mail di test (con strumenti come GoPhish o KnowBe4). Chi casca fa formazione, non punizione.

Whaling: la caccia alla balena

Il whaling è spear phishing, ma il bersaglio è una balena: CEO, CFO, CTO, amministratore delegato. Il guadagno potenziale è enorme, quindi l'attaccante investe molto più tempo nella preparazione. Una singola mail ben costruita a un dirigente può fruttare centinaia di migliaia di euro.

Perché i dirigenti sono vulnerabili? Perché sono abituati a prendere decisioni rapide, hanno accesso diretto ai fondi aziendali, e spesso non ricevono la stessa formazione sulla sicurezza degli altri dipendenti. "Io so già come funziona" è la frase che precede il disastro.

Come riconoscere un tentativo di whaling

Segnali d'allarme:

  • Richiesta di pagamento o trasferimento fondi via mail, senza preventiva comunicazione verbale.
  • Urgenza anomala: "deve essere fatto entro oggi" o "il fornitore minaccia di bloccare la produzione".
  • Richiesta di bypassare procedure standard (es. firme multiple, doppia autorizzazione).
  • Modifica di coordinate bancarie di un fornitore storico senza preavviso.

Business Email Compromise (BEC): l'attacco economico più pericoloso

Il BEC è una categoria di attacchi in cui l'attaccante compromette o impersona un account email legittimo per frodare l'azienda. Secondo l'FBI, dal 2013 le perdite globali per BEC superano i 50 miliardi di dollari. Non c'è virus, non c'è malware: solo ingegneria sociale e falsificazione credibile.

Tipologie di BEC

  • CEO Fraud: il mittente finge di essere il CEO e chiede un bonifico al CFO.
  • Account Compromise: l'attaccante ruba le credenziali di un dipendente e usa l'account reale per inviare richieste fraudolente.
  • Fornitore impostore: l'attaccante si finge un fornitore e chiede il pagamento su un nuovo IBAN.
  • Data Theft: l'attaccante chiede dati sensibili (buste paga, contratti, password) fingendosi un collega o un ente.

Perché il BEC funziona ancora

Perché non sfrutta vulnerabilità tecniche. Sfrutta fiducia, urgenza e mancanza di procedure. Noi lo diciamo sempre ai nostri clienti: un bonifico non si autorizza mai su richiesta via mail. Serve un doppio canale: mail + voce + eventuale autorizzazione scritta con firma digitale.

Esempio operativo: la truffa del fornitore

Un'azienda manifatturiera riceve una mail dal "ragioniere" del suo storico fornitore di materie prime: "Causa cambio banca, le nuove coordinate sono queste. Il bonifico per la fattura 1234 va inviato qui." La mail arriva da un dominio simile (fornit0re.com con uno zero invece della o). Il pagamento viene eseguito. Il fornitore vero non vede mai i soldi. L'attaccante sposta i fondi all'estero in pochi minuti.

Strumenti tecnici per prevenire BEC e spear phishing

La tecnologia da sola non basta, ma senza è impossibile difendersi. Ecco le configurazioni che noi di Meteora Web applichiamo su ogni server email che gestiamo:

1. DMARC, SPF e DKIM — il tridente dell'autenticazione email

Senza questi record DNS, chiunque può inviare mail a nome tuo. Configurarli blocca lo spoofing di dominio, una delle tecniche più usate nel BEC.

SPF (Sender Policy Framework): elenca i server autorizzati a spedire per il tuo dominio.

// Esempio di record SPF per dominio azienda.com
// Autorizza Google Workspace e un server locale
azienda.com TXT "v=spf1 include:_spf.google.com ip4:192.168.1.0/24 ~all"

DKIM (DomainKeys Identified Mail): firma digitalmente le mail. Il destinatario verifica la firma contro la chiave pubblica pubblicata nel DNS.

// Record DKIM esempio (fornito da Google Workspace)
google._domainkey.azienda.com TXT "k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDQ..."

DMARC (Domain-based Message Authentication, Reporting & Conformance): dice cosa fare se SPF o DKIM falliscono. Impostare p=reject blocca le mail non autenticate.

// Record DMARC base
_dmarc.azienda.com TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reports@azienda.com"

Attenzione: passare da p=none a p=reject va fatto gradualmente, monitorando i report, per non bloccare mail legittime.

2. Filtri antiphishing e sandboxing

Usa un servizio di sicurezza email che analizza link e allegati in ambiente isolato. Soluzioni come Mimecast, Proofpoint o i filtri nativi di Microsoft 365 Defender (se configurati correttamente) riducono il carico di tentativi che arrivano in inbox.

3. Autenticazione multi-fattore (MFA) obbligatoria

Non esiste scusa per non averla. Anche se un attaccante ruba le credenziali con una mail di spear phishing, senza il secondo fattore non può accedere alla casella. Imponi MFA su tutti gli account email aziendali, soprattutto quelli con accesso a fondi o dati sensibili.

4. Policy di pagamento interne

Stabilisci regole chiare:

  • Ogni richiesta di modifica coordinate bancarie deve essere verificata con telefonata al numero di riferimento (non quello nella mail).
  • I bonifici sopra una certa soglia richiedono doppia autorizzazione (es. CFO + CEO).
  • Nessun pagamento urgente fuori dal ciclo standard senza approvazione verbale registrata.

In sintesi — cosa fare adesso

Se hai letto fino a qui, probabilmente hai già in mente un collega o un fornitore che potrebbe cascarci. Agisci oggi:

  1. Verifica i tuoi record DNS: controlla SPF, DKIM e DMARC. Usa strumenti come DMARC Checker. Se non hai DMARC con p=reject, parti subito.
  2. Abilita MFA su tutti gli account email. Nessuna eccezione. Se non sai come, contattaci.
  3. Fai una simulazione di phishing interna con un tool gratuito come GoPhish. Chi cade va in formazione, non in punizione.
  4. Scrivi una procedura per le modifiche bancarie: mai via mail. Sempre telefonata + email di conferma da un indirizzo noto.
  5. Forma i dirigenti sul whaling. Spiega che il loro ruolo li rende bersagli preferenziali. Mostra esempi reali.

Il BEC non aspetta. La prossima mail potrebbe essere quella giusta. Noi lo vediamo ogni giorno. Se vuoi una mano a blindare le tue caselle, parliamone.

Sponsored Protocol

Ing. Calogero Bono

> AUTHOR_EXTRACTED

Ing. Calogero Bono

Co-founder di Meteora Web. Ingegnere informatico, sviluppo ecosistemi digitali ad alte prestazioni. AI, automazione, SEO tecnica e infrastrutture web. Scrivo di tecnologia per rendere complesso… semplice.

[ Read Full Dossier ]

Hai bisogno di applicare questa strategia?

Esegui il protocollo di contatto per iniziare un progetto con noi.

> INIZIA_PROGETTO

Sponsored

> MW_JOURNAL

Lauf eElja, la mountain bike elettrica che si sente tradizionale
2026-06-07

Lauf eElja, la mountain bike elettrica che si sente tradizionale

New York, i misteriosi 'manhole prowlers' e il lato oscuro delle infrastrutture smart
2026-06-07

New York, i misteriosi 'manhole prowlers' e il lato oscuro delle infrastrutture smart

Misurata la massa di un buco nero dormiente. JWST svela un protopianeta del Sistema Solare
2026-06-07

Misurata la massa di un buco nero dormiente. JWST svela un protopianeta del Sistema Solare

AI come hacker sociale: quando il chatbot Meta ti ruba l'account Instagram
2026-06-07

AI come hacker sociale: quando il chatbot Meta ti ruba l'account Instagram

Design del pieghevole iPhone confermato: solo bianco, lancio a settembre. WWDC 2026 prepara il terreno
2026-06-07

Design del pieghevole iPhone confermato: solo bianco, lancio a settembre. WWDC 2026 prepara il terreno

> READ_ALL()