Quando parliamo di phishing, molti immaginano ancora quelle email grossolane, piene di errori e facilmente cestinabili. La verità, però, è che gli attacchi che fanno davvero male non assomigliano per niente a quella roba lì. Sono chirurgici, credibili e costruiti pezzo dopo pezzo usando solo informazioni pubbliche. E sì, hai letto bene: pubbliche.
“Non abbiamo avuto leak”: un mito duro a morire
Durante le analisi post-incidente, c’è una frase che sento fin troppo spesso: “Non abbiamo mai avuto data breach.”
Magari è vero. Ma spesso non conta nulla.
Per l’attaccante non serve che tu abbia perso dati: basta che tu ne abbia pubblicati abbastanza nel tempo.
Siti aziendali, PDF, job posting, LinkedIn, PEC, metadati nei documenti, fornitori citati nei footer… tutto materiale perfetto per ricostruire il tuo ecosistema.
Quello che per te è normale comunicazione aziendale, per un attore ostile è un puzzle già mezzo completato.
Come nasce un attacco: non da una mail, ma da una mappa
Il phishing efficace non inizia con un click, ma con una ricognizione. Sempre.
Un analista OSINT mette insieme frammenti e ricostruisce l’azienda come farebbe un consulente che la studia da fuori:
- chi fa cosa,
- chi gestisce soldi, HR, IT,
- i fornitori,
- il modo in cui comunicate,
- gli strumenti che usate ogni giorno.
La potenza non sta nelle singole informazioni, ma nella correlazione. Ed è lì che un messaggio banale diventa credibile.
Perché il phishing mirato funziona così bene
Gli attacchi generici puntano sulla distrazione. Quelli mirati, invece, puntano sulla coerenza.
Se ti arriva una mail che cita un fornitore reale, una scadenza vera o una persona che effettivamente conosci, il tuo cervello non accende le difese: continua semplicemente un flusso già avviato.
Ed è proprio questo che l’attaccante vuole.
Spesso non cercano nemmeno subito le credenziali. Vogliono una risposta, un dialogo, un appiglio. Da lì si adattano e proseguono.
L’importanza invisibile dei documenti pubblici
I documenti che pubblichiamo noi stessi sono spesso un terreno fertilissimo:
- firme reali,
- formati interni,
- riferimenti a processi,
- nomi di applicativi,
- indirizzi email diretti.
Per te sono comunicazioni ufficiali.
Per un attaccante sono template perfetti da cui partire.
OSINT + Social Engineering = una campagna in evoluzione
Il phishing mirato non è un singolo colpo: è una campagna che si adatta.
Ogni informazione utile — anche un semplice “sono fuori ufficio” — diventa un pezzo del puzzle.
Alla fine non stai combattendo un’email, ma un processo informativo.
Perché la tecnologia da sola non basta
SPF, DKIM, DMARC, filtri e MFA servono. Ovviamente.
Ma non sono progettati per bloccare messaggi che imitano perfettamente la normalità.
Molti attacchi non violano le regole tecniche.
Violano le aspettative delle persone.
E se non hai visibilità su ciò che la tua azienda espone, finisci per cercare il problema nel posto sbagliato.
Cosa significa per le aziende (e perché devi agire prima)
Il phishing mirato OSINT-based non nasce da una grande falla, ma da mille piccole tracce pubbliche accumulate nel tempo.
Per questo servono processi continui, non controlli spot.
Strumenti come:
- brand protection e monitoraggio domini (look-alike, omografi, sottodomini sospetti),
- monitoraggio dei profili VIP (non per privacy, ma per sicurezza),
- Threat e Cyber Security Intelligence che individui segnali deboli e campagne in preparazione, non solo attacchi in corso.
E poi le persone. Non basta più riconoscere “l’email sospetta”. Gli attacchi più efficaci non sembrano sospetti: sembrano normali L’anello debole non è il click in sé, ma la mancanza di consapevolezza su cosa l’azienda espone di sé, spesso senza accorgersene.
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO
