Redazione MailSniper
Autore
Immagina questa scena: ricevi un'email dal tuo fornitore abituale. Stessa grafica, stesso oggetto, stessi allegati di una comunicazione che hai ricevuto la settimana scorsa. L'unica differenza? Una riga in fondo che dice "Aggiornato: nuovo link per il download del documento". Clicchi senza pensarci. Perche' quell'email la conosci gia'. L'hai gia' vista. Ti fidi.
Ed e' esattamente su questo che conta il clone phishing. Non inventa nulla. Copia tutto.
Il clone phishing e' una tecnica di phishing in cui l'attaccante prende un'email autentica — gia' inviata e gia' ricevuta dalla vittima — e ne crea una copia quasi identica. L'unica modifica riguarda i link o gli allegati: quelli originali vengono sostituiti con versioni malevole.
A differenza dello spear phishing classico, dove l'attaccante deve costruire un messaggio credibile da zero, nel clone phishing il lavoro e' gia' fatto. L'email originale esiste. Il contesto e' reale. La vittima ha gia' interagito con quel tipo di messaggio e lo riconosce come familiare.
Questo rende il clone phishing una delle forme piu' insidiose di social engineering. Non devi convincere la vittima che il messaggio e' legittimo — lo e' gia', almeno nella sua percezione.
Il processo segue quattro fasi precise.
L'attaccante deve prima ottenere una copia dell'email originale. Puo' farlo in diversi modi:
L'attaccante crea una copia esatta dell'email originale. Stesso mittente (spoofato), stesso oggetto, stesso corpo, stessa formattazione. Cambia solo il payload: un link che puntava a un documento su SharePoint ora punta a una pagina di phishing. Un allegato PDF legittimo viene sostituito con un PDF contenente un dropper malware.
L'email clonata viene reinviata con una scusa plausibile. Le piu' comuni:
Queste frasi sono perfette perche' giustificano il reinvio di qualcosa che la vittima ha gia' ricevuto, eliminando il sospetto.
La vittima apre l'email, riconosce il formato familiare, legge il pretesto e clicca. A quel punto puo' succedere di tutto: furto di credenziali tramite pagina di login falsa, download di ransomware, installazione di un trojan per accesso remoto, o esfiltrazione di dati.
I numeri parlano chiaro. Il tasso di successo del clone phishing e' tre volte superiore rispetto al phishing tradizionale. Perche'?
Familiarita'. Il cervello umano funziona con scorciatoie cognitive. Quando vedi qualcosa che hai gia' visto, abbassi la guardia. E' un meccanismo evolutivo: se una cosa era sicura ieri, probabilmente lo e' anche oggi. Gli attaccanti sfruttano esattamente questo bias.
Contesto reale. L'email clonata arriva nel contesto giusto. Se il tuo fornitore ti manda fatture il 15 di ogni mese, un clone phishing il 16 con la scusa "fattura aggiornata" non desterra' alcun sospetto.
Difficolta' di rilevamento. Per i filtri antispam tradizionali, un'email clonata e' particolarmente difficile da intercettare. Il contenuto e' legittimo — e' stato copiato da un'email reale. La struttura e' corretta. Solo il link o l'allegato sono diversi, e se il dominio di destinazione e' nuovo (registrato poche ore prima dell'attacco), le blacklist non lo conoscono ancora.
Uno degli scenari piu' comuni in Italia. L'attaccante compromette la casella email di un fornitore e accede allo storico delle fatture inviate. Prende l'ultima fattura reale, la clona, modifica l'IBAN nel PDF allegato e la reinvia al cliente con la nota "Si prega di utilizzare le coordinate bancarie aggiornate". Il cliente paga — ma i soldi finiscono sul conto dell'attaccante.
Questo e' un ibrido tra clone phishing e BEC (Business Email Compromise), e in Italia causa perdite per milioni di euro ogni anno.
Email di rinnovo password da Microsoft 365, notifiche di condivisione da Google Drive, avvisi di sicurezza da servizi bancari: tutte queste comunicazioni hanno un formato standard e prevedibile. Un attaccante puo' clonare una notifica autentica, cambiare il link "Verifica il tuo account" con un link di phishing, e raccogliere credenziali su scala industriale.
In ambienti aziendali dove si condividono documenti via SharePoint o Google Workspace, le email di notifica ("Mario ha condiviso un documento con te") sono frequentissime. Clonare queste notifiche e' banale: basta cambiare l'URL del documento con un link malevolo. La vittima clicca aspettandosi un foglio Excel e si ritrova su una pagina di login falsa.
Anche se il clone phishing e' sofisticato, ci sono segnali che possono tradirlo.
Controlla il mittente reale. Apri gli header dell'email e verifica il campo Return-Path e i risultati SPF/DKIM/DMARC. Se l'email originale passava tutti i controlli e questa no, e' un clone.
Passa il mouse sui link. Prima di cliccare, posiziona il cursore sul link e guarda l'URL nella barra di stato del browser. Se punta a un dominio diverso da quello atteso, fermati.
Chiediti: perche' la ricevo di nuovo? Se hai gia' ricevuto questa email, perche' arriva una seconda volta? Il pretesto e' credibile? In caso di dubbio, contatta il mittente su un canale diverso (telefono, chat interna) e chiedi conferma.
Confronta con l'originale. Se hai ancora l'email originale nella inbox, mettile fianco a fianco. Cerca differenze nei link, negli allegati, nell'indirizzo del mittente.
I filtri antispam tradizionali faticano con il clone phishing perche' si basano su contenuto e reputazione. Il contenuto e' legittimo (copiato da un'email reale) e il dominio puo' essere nuovo o compromesso.
MailSniper adotta un approccio diverso, basato su piu' livelli di analisi:
Analisi comportamentale. Il nostro motore AI confronta ogni email in arrivo con i pattern di comunicazione abituali. Se un fornitore ti ha gia' mandato una fattura identica 3 giorni fa, una seconda email con lo stesso contenuto ma un allegato diverso genera un alert automatico.
URL rewriting e detonazione. Ogni link nelle email viene riscritto per passare attraverso il nostro proxy di sicurezza. Al momento del click, il link viene analizzato in tempo reale in un ambiente sandbox. Se punta a una pagina di phishing, il click viene bloccato anche se l'email era gia' stata consegnata.
Sandboxing degli allegati. Ogni allegato viene aperto in una macchina virtuale isolata. Se il PDF clonato contiene un dropper o un exploit, il sandbox lo rileva e blocca la consegna. Non importa quanto l'allegato sembri identico all'originale — il comportamento lo tradisce.
Verifica DMARC rigorosa. MailSniper applica controlli rigorosi su SPF, DKIM e DMARC. Se l'email originale del fornitore passava tutti e tre i controlli e il clone non li passa, viene bloccato o messo in quarantena automaticamente.
Il clone phishing sfrutta la fiducia. Quella fiducia che hai costruito nelle comunicazioni quotidiane con colleghi, fornitori, clienti. Trasformarla in un'arma e' cinico ed efficace.
La difesa migliore combina tecnologia e consapevolezza. Forma il tuo team a riconoscere i segnali (prova il nostro test di phishing interattivo per allenare l'occhio). E affida a un gateway professionale il compito di intercettare le email clonate prima che raggiungano la inbox.
Prossimi passi:
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl fileless malware non lascia tracce su disco: vive in memoria, sfrutta PowerShell e macro VBA, e bypassa gli antivirus tradizionali. Ecco come arriva via email e come fermarlo.
LeggiUn attaccante compromette il tuo account e imposta una regola di inoltro invisibile. Anche dopo il cambio password, continua a leggere ogni tua email. Ecco come difenderti.
LeggiGli attacchi watering hole via email colpiscono siti web di settore per poi inviare email mirate alle vittime. Ecco come funzionano e come MailSniper ti protegge.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.