Defender Non Basta (Parte 2): Test Reale con 10 Email di Phishing

Dalla Teoria alla Pratica

Nella parte 1 abbiamo analizzato i 5 limiti strutturali di Microsoft Defender per Office 365 nella sua versione base (EOP). Nessuna AI semantica, nessun sandboxing, nessun URL rewriting, anti-BEC limitato e zero personalizzazione per PMI.

Ma i limiti sulla carta sono una cosa. Vedere cosa succede davvero quando un'email di phishing arriva nella casella e' un'altra. Cosi' abbiamo fatto una prova pratica: 10 email di phishing simulate, con livelli di sofisticazione crescente, inviate a una casella Office 365 protetta solo da EOP.

Spoiler: i risultati non sono rassicuranti. Ma partiamo dall'inizio.

Il Protocollo del Test

Per rendere il test il piu' realistico possibile, abbiamo definito un protocollo chiaro e ripetibile.

Setup

• Casella target: account Microsoft 365 Business Standard con Exchange Online Protection (EOP) attivo — nessun add-on Defender Plan 1 o Plan 2. E' la configurazione che ha la stragrande maggioranza delle PMI italiane.
• Stessa casella con MailSniper: abbiamo attivato MailSniper come layer aggiuntivo sulla stessa casella, con il connettore per Office 365. Setup in 10 minuti, zero modifiche lato Microsoft.
• 10 email di phishing simulate: scenari realistici ispirati a campagne di attacco reali documentate nel 2025-2026. Non abbiamo usato malware vero — abbiamo replicato le tecniche, le strutture e i pattern che gli attaccanti usano nella realta'.
• Valutazione binaria: per ogni email, il verdetto e' semplice. BLOCCATA (non raggiunge la inbox) o PASSA (arriva nella posta in arrivo dell'utente).

Non e' un test certificato da un laboratorio indipendente. E' una simulazione realistica che replica quello che succede ogni giorno nelle caselle email delle aziende italiane. I risultati parlano da soli.

Le 10 Email di Test

Ecco i 10 scenari, dal piu' semplice al piu' sofisticato.

Email 1: Spam Classico — Offerta Viagra

La piu' basica di tutte. Oggetto in inglese, mittente sconosciuto, corpo pieno di keyword spam, link a un sito farmaceutico sospetto. E' il tipo di spam che esiste dal 2005.

• Defender (EOP): BLOCCATA
• MailSniper: BLOCCATA

Nessuna sorpresa. Entrambi i sistemi gestiscono lo spam tradizionale senza problemi. E' il livello minimo.

Email 2: Phishing PayPal con Link Generico

Email che imita una notifica PayPal: "Il tuo account e' stato limitato, clicca qui per verificare". Template copiato da una campagna nota, link verso un dominio gia' presente in blacklist.

• Defender (EOP): BLOCCATA
• MailSniper: BLOCCATA

Anche qui, entrambi funzionano. Il link era in blacklist da settimane, il mittente era flaggato. Questo e' lo spam che Defender sa fermare bene. Ma da qui in poi le cose cambiano.

Email 3: Phishing Microsoft 365 — Login Page Fake con URL Nuovo

Email che imita una notifica di Microsoft: "La tua sessione e' scaduta, accedi di nuovo per continuare". Logo Microsoft perfetto, layout identico alle email reali di Microsoft 365. Il link punta a un dominio registrato da meno di 24 ore con un certificato SSL valido. La pagina di destinazione e' una replica esatta della schermata di login di Microsoft.

• Defender (EOP): PASSA — l'email arriva nella inbox senza alcun avviso
• MailSniper: BLOCCATA — rilevata come phishing grazie all'analisi euristica del dominio (eta' del dominio, pattern URL sospetto, mismatch tra mittente e destinazione del link)

Perche' Defender fallisce: EOP controlla i link contro database di URL noti come malevoli. Un dominio registrato da poche ore non e' ancora in nessuna blacklist. Ci vogliono ore o giorni prima che venga segnalato. Nel frattempo, l'email e' gia' nella tua inbox.

Email 4: Fattura PDF con Macro Malware

Email da un presunto fornitore italiano con una "fattura" allegata in formato PDF. Il PDF contiene una macro che, se attivata, scarica ed esegue codice malevolo dal server dell'attaccante.

• Defender (EOP): PASSA — il PDF supera la scansione antivirus basata su firme perche' il payload e' offuscato e non corrisponde a nessuna firma nota
• MailSniper: BLOCCATA — il file viene aperto nel sandbox di Libraesva, dove il comportamento sospetto (tentativo di connessione esterna, esecuzione di codice) viene rilevato in pochi secondi

Perche' Defender fallisce: senza sandboxing (disponibile solo con Defender Plan 1+), EOP puo' solo confrontare l'hash del file con il database di malware conosciuti. Se il malware e' nuovo o offuscato, passa. E' come cercare un criminale confrontando la foto segnaletica — se non l'hai mai visto prima, lo lasci entrare.

Email 5: BEC CEO Fraud — "Serve un Bonifico Urgente"

Email che sembra arrivare dal CEO dell'azienda (display name corretto, dominio simile con una lettera cambiata). Testo: "Ciao Marco, sto chiudendo un'acquisizione riservata. Ho bisogno che tu disponga un bonifico di 18.500 euro entro oggi. Ti mando le coordinate. Non ne parlare con nessuno per ora, questioni di riservatezza.".

• Defender (EOP): PASSA — l'email non contiene link, non contiene allegati, non ha nessun indicatore tecnico sospetto. Per EOP e' una normale email di testo
• MailSniper: BLOCCATA — l'analisi AI semantica riconosce il pattern BEC classico: urgenza, richiesta di denaro, richiesta di segretezza, impersonificazione di un dirigente

Perche' Defender fallisce: EOP non capisce il significato dell'email. Guarda firme, URL, allegati. Un'email di testo puro senza link e senza allegati e' invisibile ai suoi filtri. Ma e' esattamente questo il tipo di attacco che costa alle aziende italiane decine di migliaia di euro per singolo incidente.

Email 6: Spear Phishing Personalizzato (Dati da LinkedIn)

Email che cita il nome reale del destinatario, il suo ruolo in azienda, un progetto menzionato su LinkedIn e il nome di un collega reale. "Ciao Laura, come anticipato durante la call con Alessandro sul progetto di migrazione cloud, ti giro il documento aggiornato con le specifiche tecniche." Link a un documento su un dominio che imita Google Drive.

• Defender (EOP): PASSA — nessun indicatore tecnico sospetto, il dominio del link non e' in blacklist, il contenuto sembra una comunicazione interna legittima
• MailSniper: BLOCCATA — l'analisi del dominio del link (registrato di recente, pattern di hosting sospetto) combinata con l'analisi semantica (richiesta di click su un link esterno in un contesto di comunicazione interna) fa scattare l'allarme

Email 7: URL Redirect Chain

Email con un link che punta a un sito legittimo (ad esempio un servizio di URL shortening o un redirect di Google). Il sito legittimo redirige a un secondo sito, che redirige a un terzo — la destinazione finale e' una pagina di phishing. Al momento dell'invio, la catena di redirect porta a una pagina innocua. Dopo 3 ore, la destinazione finale viene cambiata con la pagina di phishing.

• Defender (EOP): PASSA — il link iniziale punta a un dominio legittimo. EOP controlla il link al momento della consegna, non al momento del click. Quando l'utente clicca ore dopo, la destinazione e' cambiata
• MailSniper: BLOCCATA — il sistema di URL rewriting riscrive il link e lo analizza al momento del click, seguendo tutta la catena di redirect fino alla destinazione finale. Se la destinazione e' sospetta, il click viene bloccato in tempo reale

Email 8: Brand Impersonation — support@micros0ft.com

Email da "support@micros0ft.com" (con uno zero al posto della "o") che chiede di aggiornare le impostazioni di sicurezza dell'account Microsoft 365. Template perfetto, logo autentico, tono professionale.

• Defender (EOP): PASSA — il dominio "micros0ft.com" non e' in blacklist, i record SPF/DKIM del dominio sono tecnicamente validi (l'attaccante ha configurato il proprio dominio), il contenuto non contiene pattern spam noti
• MailSniper: BLOCCATA — il modulo di brand impersonation rileva la somiglianza con il dominio legittimo "microsoft.com" e flagga l'email come tentativo di impersonificazione

Email 9: QR Code Phishing

Email che contiene solo un'immagine con un QR code. Nessun link testuale, nessun allegato eseguibile. Il QR code punta a una pagina di phishing ottimizzata per mobile. L'email dice: "Scansiona il codice QR per accedere al documento condiviso".

• Defender (EOP): PASSA — non c'e' nessun link da analizzare, nessun allegato sospetto. L'immagine e' un semplice file PNG. EOP non ha la capacita' di leggere e analizzare il contenuto dei QR code
• MailSniper: BLOCCATA — il motore di analisi decodifica i QR code nelle immagini allegate, estrae l'URL e lo analizza come qualsiasi altro link. Se la destinazione e' malevola, l'email viene bloccata

Perche' e' importante: il QR code phishing e' esploso nel 2025-2026 proprio perche' bypassa la maggior parte dei filtri email tradizionali. Nessun link testuale significa nessun URL da controllare — a meno che il sistema non sappia leggere le immagini.

Email 10: Allegato HTML con JavaScript Offuscato

Email con un allegato .html che, quando aperto nel browser, esegue JavaScript offuscato per mostrare una pagina di login fake e inviare le credenziali all'attaccante. L'HTML e' costruito per eludere la scansione: il codice malevolo e' frammentato, codificato in base64 e assemblato dinamicamente a runtime.

• Defender (EOP): PASSA — il file .html non e' un tipo di allegato bloccato di default. La scansione antivirus non rileva pattern malevoli nel codice offuscato
• MailSniper: BLOCCATA — il sandboxing esegue il file HTML in un browser virtuale isolato, osserva il comportamento (rendering di un form di login, tentativo di invio dati a un server esterno) e lo blocca

I Risultati: La Tabella Riepilogativa

Ecco il quadro completo:

Defender (EOP): 2 su 10 bloccate (20%) MailSniper: 10 su 10 bloccate (100%)

Le 2 email che Defender blocca sono spam e phishing che esistono da 10 anni — minacce gia' in blacklist, con pattern noti e riconosciuti. Le 8 che passano sono le minacce del 2026: phishing con URL nuovi, BEC senza link, QR code, allegati offuscati, redirect chain.

Non e' che Defender sia rotto. Fa esattamente quello per cui e' stato progettato: filtrare lo spam di massa e il malware gia' catalogato. Il problema e' che le minacce si sono evolute, e EOP e' rimasto al 2018.

Perche' Succede: L'Analisi Tecnica

I risultati non sono casuali. Derivano da differenze architetturali fondamentali tra i due sistemi.

EOP si basa su tre pilastri:

• Firme e hash (riconosce solo minacce gia' catalogate)
• Blacklist di URL e domini (efficace solo per link gia' segnalati)
• Regole euristiche di base (pattern spam generici)

MailSniper aggiunge:

• AI semantica: capisce l'intenzione dell'email, non solo le parole. Rileva pattern BEC, urgenza manipolativa, richieste anomale
• Sandboxing: esegue allegati in un ambiente isolato prima della consegna. Non importa se il malware e' nuovo — se si comporta male, viene bloccato
• URL rewriting e analisi al click: ogni link viene riscritto e verificato nel momento in cui l'utente clicca, non solo al momento della consegna
• Analisi immagini e QR code: decodifica i QR code nelle email e analizza le destinazioni
• Brand impersonation detection: confronta domini, loghi e template con quelli dei brand piu' imitati

La differenza non e' quantitativa — e' qualitativa. Sono due approcci fondamentalmente diversi alla sicurezza email. Uno cerca quello che conosce gia'. L'altro analizza tutto quello che arriva, noto o sconosciuto.

Cosa Fare: 3 Opzioni Concrete

Se la tua azienda usa Office 365 con solo EOP, hai tre strade.

Opzione 1: Aggiungere MailSniper (Consigliata)

La soluzione piu' rapida ed efficace. MailSniper si posiziona come layer aggiuntivo davanti a Office 365 senza sostituire nulla. EOP continua a funzionare come primo filtro, MailSniper aggiunge tutto quello che manca.

• Tempo di setup: 10 minuti con il connettore Office 365
• Costo: da €1,50/casella/mese (dettagli prezzi)
• Prova gratuita: 30 giorni, nessun impegno (inizia qui)
• Rischio: zero. Se non ti convince, disattivi il connettore e torni a come prima

Opzione 2: Upgrade a Defender Plan 2

Puoi aggiungere Defender for Office 365 Plan 2 (circa /utente/mese). Ottieni Safe Attachments, Safe Links e threat investigation. E' una soluzione valida, ma costa di piu', richiede configurazione avanzata e non ha AI semantica per il rilevamento BEC allo stesso livello.

Per un confronto dettagliato tra le diverse opzioni, consulta la nostra pagina dedicata.

Opzione 3: Non Fare Nulla

Puoi decidere che il rischio e' accettabile. Ma considera questo: basta una sola email delle 8 che passano per causare un danno. Un bonifico BEC da 15.000 euro. Un ransomware che blocca l'azienda per giorni. Una violazione dati che richiede notifica al Garante. Vuoi sapere quanto costerebbe alla tua azienda? Usa il nostro calcolatore del costo di un attacco.

Nella Parte 3: Quanto Costa un Attacco Riuscito

Abbiamo visto i limiti teorici (parte 1) e i risultati pratici (questo articolo). Nella parte 3 calcoliamo i numeri: quanto costa davvero alla tua azienda un attacco email riuscito?

Fermo operativo, recupero dati, sanzioni GDPR, danni reputazionali, costi legali. Lo quantifichiamo con numeri reali basati su casi italiani. E ti mostriamo perche' il costo di un antispam serio e' una frazione microscopica del danno che previene.

Se nel frattempo vuoi verificare il livello di sicurezza delle tue email, puoi fare il test di phishing gratuito o il nostro quiz di sicurezza email. Ci vogliono 2 minuti.