Email Forwarding Attack: La Regola Nascosta che Spia la Tua Posta

La Password l'Hai Cambiata. Ma Qualcuno Legge Ancora le Tue Email.

Immagina questa situazione. Il reparto IT scopre che un account email aziendale e' stato compromesso. Scatta il protocollo: cambio password immediato, reset delle sessioni attive, verifica dei log di accesso. Tutto fatto in un'ora. Emergenza rientrata, giusto?

Sbagliato. Perche' l'attaccante, nei 20 minuti in cui aveva il controllo dell'account, ha fatto una cosa semplicissima ma devastante: ha creato una regola di inoltro automatico che copia silenziosamente ogni email in arrivo verso un indirizzo esterno.

Cambiare la password non disattiva le regole di inoltro. Il reset delle sessioni non le tocca. L'attaccante non ha piu' bisogno di accedere all'account — riceve una copia di tutto nella sua casella, in tempo reale, senza lasciare traccia.

Questo e' un email forwarding attack ed e' una delle tecniche piu' sottili e pericolose nel panorama della sicurezza email. E' strettamente legato all'account takeover e allo sfruttamento delle inbox rules.

Come Funziona l'Attacco

L'attacco si sviluppa in tre fasi, e la prima e' quella che attira tutta l'attenzione — lasciando le altre due nell'ombra.

Fase 1: La Compromissione Iniziale

L'attaccante ottiene le credenziali dell'account. Puo' farlo con un'email di phishing classica, con il credential stuffing (provando password rubate da altri breach), o con tecniche piu' sofisticate come l'OAuth phishing. In molti casi, l'accesso avviene da un IP geograficamente plausibile — magari tramite una VPN nello stesso paese della vittima — rendendo il login meno sospetto.

Fase 2: La Regola Nascosta

Una volta dentro, l'attaccante non perde tempo. Non legge le email una per una. Non scarica gli allegati. Fa una cosa sola: apre le impostazioni dell'account e crea una regola di inoltro.

In Microsoft 365, basta andare in Impostazioni > Posta > Regole e creare una nuova regola: "Per tutti i messaggi ricevuti, inoltra come allegato a shadow-account@protonmail.com". Tempo necessario: 30 secondi.

In Gmail, stesso concetto: Impostazioni > Inoltro > Aggiungi indirizzo di inoltro. Ancora piu' veloce.

La regola puo' essere configurata per essere selettiva: solo email con determinati mittenti (il CEO, il direttore finanziario, i fornitori chiave), solo email con allegati, solo email con parole chiave come "fattura", "bonifico", "password", "contratto". Questo riduce il volume e rende l'inoltro meno visibile.

Fase 3: La Persistenza Silenziosa

Ecco il punto chiave. Quando il team IT scopre la compromissione e cambia la password, l'attaccante perde l'accesso diretto. Ma la regola di inoltro resta attiva. Continua a funzionare con le credenziali dell'account stesso — non ha bisogno di autenticazione esterna.

L'attaccante riceve una copia di ogni email. Puo' leggere conversazioni riservate, intercettare fatture, scoprire piani strategici, raccogliere informazioni per lanciare attacchi BEC mirati contro l'azienda o i suoi partner.

E il proprietario dell'account non si accorge di nulla. Le email arrivano normalmente nella sua inbox. Non c'e' nessun ritardo, nessun messaggio mancante, nessun segnale visibile.

Perche' Persiste Anche Dopo il Cambio Password

Questo e' il concetto che sfugge a molti team IT. Le regole di inoltro sono una funzionalita' nativa del server di posta. Non sono un malware. Non sono un accesso non autorizzato. Sono una configurazione legittima dell'account.

Quando cambi la password:

• Le sessioni attive vengono invalidate (se fai il reset)
• I token OAuth vengono revocati (se ti ricordi di farlo)
• Le regole di posta restano intatte

E' come cambiare la serratura di casa ma lasciare attivo il redirect della posta al vecchio inquilino. Le lettere continuano ad arrivare anche a lui.

Come Controllare se Sei Sotto Attacco

La buona notizia e' che le regole di inoltro si possono trovare. La cattiva notizia e' che quasi nessuno le controlla.

In Microsoft 365 (Admin)

1. Vai nel Microsoft 365 Admin Center
2. Exchange Admin Center > Flusso di posta > Regole
3. Per ogni casella: PowerShell con Get-InboxRule -Mailbox utente@dominio.it | Where-Object {$_.ForwardTo -or $_.RedirectTo -or $_.ForwardAsAttachmentTo}
4. Controlla anche le regole di trasporto a livello organizzazione

In Gmail (Workspace Admin)

1. Google Admin Console > App > Google Workspace > Gmail
2. Per ogni utente: Impostazioni > Inoltro e POP/IMAP
3. Controlla anche i filtri (Impostazioni > Filtri) che possono inoltrare selettivamente

Segnali di Allarme

• Regole con nomi generici o vuoti ("Rule 1", "Regola", o senza nome)
• Inoltro verso domini esterni gratuiti (gmail, protonmail, tutanota, outlook)
• Regole create di recente, specialmente se l'account ha subito un tentativo di compromissione
• Regole che filtrano per parole chiave finanziarie ("invoice", "payment", "bonifico", "IBAN")
• Regole che eliminano automaticamente l'email originale dopo l'inoltro (per non lasciare traccia)

Varianti dell'Attacco

L'inoltro diretto non e' l'unica tecnica. Gli attaccanti usano anche varianti piu' sofisticate.

Regole di Spostamento

Invece di inoltrare, la regola sposta le email in una cartella nascosta (come RSS Feeds o Subscription in Outlook). L'attaccante accede periodicamente e le legge, senza che l'inoltro verso l'esterno generi log sospetti.

Deleghe di Accesso

L'attaccante si aggiunge come delegato dell'account. Puo' leggere le email senza generare forwarding. Meno visibile, ma richiede accesso piu' prolungato per la configurazione iniziale.

Connettori SMTP

In ambienti Exchange, l'attaccante puo' creare un connettore SMTP che inoltra il traffico verso un server esterno. Questo opera a livello di infrastruttura e non compare nelle regole utente.

Come MailSniper Protegge dalle Regole Nascoste

MailSniper, grazie alla tecnologia Libraesva, affronta il problema su piu' livelli.

Prevenzione della Compromissione Iniziale

Il primo livello e' impedire che l'account venga compromesso. Il filtro anti-phishing con 14+ livelli di analisi blocca le email di credential phishing prima che raggiungano l'utente. Se l'email non arriva, le credenziali non vengono rubate, e la regola non viene creata.

Monitoraggio delle Mail Rules

MailSniper monitora le modifiche alle regole di posta sugli account protetti. Se viene creata una nuova regola di inoltro verso un dominio esterno, l'amministratore riceve un alert immediato. Questo e' particolarmente importante perche' colma il gap tra la compromissione e la risposta.

Protezione Outbound

Anche se una regola di inoltro viene creata, le email in uscita passano dal gateway MailSniper. Se il sistema rileva un pattern di inoltro anomalo — volume improvviso, destinazione sospetta, contenuto sensibile — puo' bloccare il flusso e notificare l'IT.

Checklist Post-Compromissione

Se sospetti che un account sia stato compromesso, il cambio password e' solo il primo passo. Ecco la checklist completa.

1. Cambia la password e forza il reset di tutte le sessioni attive
2. Revoca tutti i token OAuth e le app di terze parti connesse
3. Controlla le regole di inoltro — inbox rules, forwarding, filtri
4. Controlla le deleghe — chi ha accesso in lettura all'account?
5. Controlla le regole di trasporto a livello organizzazione
6. Verifica i log di accesso — da dove e quando e' stato effettuato l'accesso non autorizzato
7. Verifica i log di invio — l'account ha inviato email anomale durante la compromissione?
8. Attiva l'MFA se non era gia' attivo (e se era attivo, verifica come e' stato aggirato)
9. Avvisa i contatti chiave — se l'attaccante ha letto email riservate, i partner commerciali devono saperlo
10. Monitora per 30 giorni — gli attaccanti spesso tornano dopo qualche settimana, sperando che l'attenzione si sia abbassata

Per approfondire le tecniche di account takeover e le inbox rules attack, consulta il nostro glossario.

La Regola che Non Vedi e' Quella Piu' Pericolosa

L'email forwarding attack e' insidioso proprio perche' e' silenzioso. Non cripta i tuoi file. Non blocca il tuo account. Non chiede un riscatto. Semplicemente osserva. Legge. Raccoglie informazioni. E aspetta il momento giusto per colpire — magari con un attacco BEC perfettamente calibrato, basato su settimane di conversazioni intercettate.

La difesa parte dalla prevenzione (non farsi rubare le credenziali) e passa dal monitoraggio continuo (controllare regolarmente le regole di posta). Con un gateway come MailSniper, entrambi i fronti sono coperti.

Prossimi passi:

• Email forwarding attack nel glossario — definizione e approfondimenti
• Inbox rules attack — come gli attaccanti sfruttano le regole di posta
• Account takeover: cos'e' e come difendersi — il punto di partenza di ogni forwarding attack
• Prova MailSniper gratis per 30 giorni — protezione completa, setup in 15 minuti