← Torna al blog Sicurezza

Phishing e Business Email Compromise: come gli aggressori prendono di mira le aziende

Envestis Team 15 min di lettura

L'email che costa milioni

Nel 2023, gli attacchi di business email compromise (BEC) hanno causato perdite segnalate per 2,9 miliardi di dollari nei soli Stati Uniti, secondo l'IC3 dell'FBI. A livello globale, il numero e molto piu alto. E la Svizzera, con la sua concentrazione di servizi finanziari, societa di commercio internazionale e obiettivi di alto valore, non e immune.

Phishing e BEC non sono la stessa cosa, sebbene siano correlati. Il phishing lancia una rete ampia, inviando la stessa esca a migliaia di indirizzi email sperando che qualcuno abbocchi. Il BEC e mirato, ricercato e paziente. Un aggressore trascorre giorni o settimane a studiare la struttura di un'azienda, i modelli di comunicazione e le relazioni commerciali prima di colpire.

Come si e evoluto il phishing

Le email di phishing di dieci anni fa erano ridicolmente scadenti. Grammatica scorretta, saluti generici, loghi palesemente falsi. Alcune circolano ancora. Ma il panorama del phishing e cambiato drasticamente.

Caratteristiche del phishing moderno

  • Linguaggio perfetto. Gli aggressori usano madrelingua o traduzioni di alta qualita. Gli errori grammaticali non sono piu un indicatore affidabile.
  • Branding accurato. Loghi, colori, testo a pie di pagina e firme email vengono clonati da email legittime.
  • Contestualmente rilevante. Gli aggressori fanno riferimento a eventi reali per creare urgenza e credibilita.
  • URL dall'aspetto legittimo. Uso di sottodomini, URL shortener o servizi legittimi per mascherare destinazioni malevole.
  • Attacchi multi-fase. L'email iniziale potrebbe non contenere nulla di malevolo. Stabilisce una conversazione. Il payload arriva in un follow-up.

Spear phishing: l'attacco mirato

Lo spear phishing prende di mira individui specifici all'interno di un'organizzazione. L'aggressore studia il bersaglio usando LinkedIn, siti web aziendali, social media e registri pubblici.

Raccolta di informazioni

  • Struttura organizzativa - Chi risponde a chi. Chi ha autorita di firma.
  • Relazioni commerciali - Fornitori chiave, studi legali, revisori, contatti bancari.
  • Modelli di comunicazione - Quanto sono formali le email interne?
  • Attivita correnti - L'azienda sta concludendo un'acquisizione? Preparando un audit?
  • Programmi di assenza - I messaggi di risposta automatica rivelano quando le persone chiave sono in viaggio.

Frode del CEO: lo scenario BEC classico

La frode del CEO (detta anche "impersonazione di dirigenti") e il modello di attacco BEC piu comune.

La preparazione

  1. L'aggressore identifica il CEO e il CFO dell'azienda bersaglio.
  2. L'aggressore registra un dominio simile a quello dell'azienda. Per esempio, se l'azienda e envestis.ch, l'aggressore potrebbe registrare envestls.ch (l al posto di i).
  3. L'aggressore crea un indirizzo email che imita quello del CEO.
  4. L'aggressore aspetta il momento giusto. Forse il CEO e in viaggio.

L'attacco

Il CFO riceve un'email che sembra provenire dal CEO. L'email fa riferimento a qualcosa di plausibile: "Stiamo finalizzando l'acquisizione di cui abbiamo discusso. Ho bisogno che tu trasferisca CHF 340.000 sul conto deposito del nostro consulente legale. E urgente e confidenziale."

L'email crea urgenza, autorita e segretezza: i tre pilastri dell'ingegneria sociale.

Abbiamo visto casi in Svizzera in cui aziende hanno perso tra CHF 50.000 e CHF 1,2 milioni per frodi del CEO. In un caso, l'aggressore aveva monitorato l'email dell'azienda per tre settimane prima di colpire, sincronizzando l'attacco con le vacanze del CEO.

Manipolazione delle fatture

La manipolazione delle fatture e un'altra variante BEC comune, e puo essere piu difficile da rilevare perche sfrutta relazioni commerciali esistenti.

Come funziona

  1. L'aggressore compromette l'account email di un fornitore (o crea un dominio simile convincente).
  2. L'aggressore intercetta una fattura legittima inviata dal fornitore all'azienda bersaglio.
  3. L'aggressore modifica i dettagli del conto bancario sulla fattura (stesso importo, stesso riferimento, IBAN diverso).
  4. La fattura modificata viene inviata all'azienda bersaglio.
  5. L'azienda bersaglio paga la fattura sul conto dell'aggressore.

Rischio specifico svizzero

La posizione della Svizzera come hub per il commercio internazionale e i servizi finanziari rende la manipolazione delle fatture particolarmente attraente per gli aggressori. I pagamenti transfrontalieri sono routine, le fatture in piu valute sono normali e i processi di pagamento possono coinvolgere piu parti in diversi paesi.

Attacchi con domini simili

Tecnica Dominio reale Dominio simile
Sostituzione carattere envestis.ch envestls.ch (l per i)
Carattere aggiunto envestis.ch envestiss.ch
Carattere rimosso envestis.ch envetis.ch
Trasposizione envestis.ch envesits.ch
Cambio TLD envestis.ch envestis.com

Come riconoscere il phishing

Segnali d'allarme nelle email

  • Urgenza e pressione. "Deve essere fatto entro 2 ore." Le organizzazioni legittime raramente impongono urgenza artificiale via email.
  • Richieste di segretezza. "Non condividere con nessuno." Questo e progettato per impedire la verifica.
  • Richieste insolite. Modifiche ai dettagli di pagamento, richieste di carte regalo.
  • Discrepanza nell'indirizzo del mittente. Controlla sempre l'indirizzo email completo, non solo il nome visualizzato.
  • Ispezione dei link. Passa il mouse sopra i link (non cliccare) per vedere l'URL reale.

Procedure di verifica

  1. Verifica tramite un canale diverso. Chiama la persona usando un numero che hai gia in archivio.
  2. Non rispondere all'email. Se l'account e compromesso, la risposta va all'aggressore.
  3. Consulta un collega. La richiesta di segretezza e un segnale d'allarme proprio perche impedisce questo.

Formazione dei dipendenti

  • Esercizi di phishing simulato. Invia email di test realistiche ai dipendenti. Fallo trimestralmente.
  • Formazione specifica per ruolo. I team finanziari hanno bisogno di formazione sulla frode delle fatture. I dirigenti sulla frode del CEO.
  • Rinforzo positivo. Premia i dipendenti che segnalano email sospette.
  • Procedure di segnalazione chiare. Ogni dipendente deve sapere esattamente cosa fare quando riceve un'email sospetta.

Difese tecniche

Autenticazione email: SPF, DKIM, DMARC

Questi tre protocolli lavorano insieme per prevenire lo spoofing email. Per una guida dettagliata sull'implementazione, leggi il nostro articolo su protezione email SPF, DKIM e DMARC.

Gateway di sicurezza email

Un gateway di sicurezza email dedicato fornisce rilevamento avanzato delle minacce, protezione dall'impersonazione, banner di avviso per email esterne e riscrittura dei link.

Autenticazione multi-fattore (MFA)

Se un aggressore ruba le credenziali email tramite phishing, l'MFA impedisce l'accesso all'account. Usa chiavi di sicurezza hardware (YubiKey, FIDO2) o app di autenticazione.

Casi reali e perdite finanziarie

  • Banca belga Crelan - EUR 70 milioni persi nel 2016 per un attacco BEC.
  • Toyota Boshoku - USD 37 milioni persi nel 2019 per manipolazione di fatture BEC.
  • Ubiquiti Networks - USD 46,7 milioni persi nel 2015 per un attacco BEC.

Contesto svizzero

Il Centro nazionale per la cibersicurezza (NCSC) della Svizzera segnala regolarmente attacchi BEC contro aziende svizzere. Il settore finanziario, le societa di commercio di materie prime e le PMI che gestiscono pagamenti internazionali sono bersagli frequenti.

Raccomandazioni pratiche

  1. Implementa SPF, DKIM e DMARC con enforcement.
  2. Richiedi la doppia autorizzazione per pagamenti sopra una soglia.
  3. Stabilisci una procedura di verifica per le modifiche dei dettagli di pagamento.
  4. Abilita MFA su tutti gli account email. Nessuna eccezione.
  5. Aggiungi banner per email esterne.
  6. Conduci simulazioni di phishing regolari.
  7. Monitora i domini simili.
  8. Rivedi i messaggi di risposta automatica.

Conclusione

Gli attacchi phishing e BEC non stanno diminuendo. La combinazione di controlli tecnici (autenticazione email, gateway di sicurezza, MFA) e controlli umani (formazione, procedure di verifica, cultura della segnalazione) fornisce la migliore difesa.

Se vuoi valutare l'esposizione della tua azienda ai rischi phishing e BEC, contatta il nostro team a Lugano. Aiutiamo le aziende in tutta la Svizzera a costruire difese robuste contro gli attacchi basati su email.

Vuoi sapere se il tuo sito è sicuro?

Richiedi un audit di sicurezza gratuito. In 48 ore ricevi un report completo.

Richiedi Audit Gratuito

Articoli Correlati

Sicurezza

Vulnerabilita di WordPress nel 2025: Perche il Tuo Sito e Ancora a Rischio

WordPress alimenta oltre il 40% del web, ma la sua popolarita lo rende il bersaglio principale per gli attaccanti. Analizziamo le classi di vulnerabilita piu comuni, CVE reali dell'ultimo anno e passaggi concreti per rafforzare la tua installazione.

· 18 min di lettura
Sicurezza

SPF, DKIM e DMARC: Proteggi la Tua Azienda dallo Spoofing Email

Lo spoofing email costa alle aziende miliardi ogni anno tramite frodi BEC e phishing. SPF, DKIM e DMARC sono tre protocolli che, configurati correttamente, rendono quasi impossibile impersonare il tuo dominio.

· 15 min di lettura
Sicurezza

Pagine Admin Esposte: Un Regalo per gli Hacker

Le vostre pagine /wp-admin, /admin o /login sono visibili a tutto internet. I bot le stanno scansionando proprio ora. Il CAPTCHA da solo non vi salvera. Ecco come gli attaccanti sfruttano i pannelli admin esposti e cosa dovreste fare.

· 13 min di lettura

Contatto Rapido