Team MailSniper
Autore
Un link a Google Meet. Lo vedi, riconosci il dominio, clicchi. È Google — che vuoi che succeda?
Succede che finisci su una pagina che ti chiede utente e password di Microsoft 365. E tu li inserisci, perché il browser ti ha portato lì in modo trasparente, senza segnali d'allarme.
Questo è il meccanismo degli attacchi cosiddetti "open redirect" (reindirizzamento nascosto) multi-livello: sfruttare la reputazione di piattaforme fidate come Google Meet per trasportare l'utente verso pagine di furto credenziali, aggirando sia i filtri tecnici che il giudizio umano. La pagina finale è spesso protetta da un CAPTCHA — non per difendere l'utente, ma per bloccare i sistemi di analisi automatica e non farsi scoprire.
Per una PMI italiana, il risultato concreto è: credenziali rubate, casella email compromessa, e un attaccante seduto in silenzio nella posta aziendale per mesi, in attesa del momento giusto per colpire.
So what? Non puoi più basarti sul dominio dell'URL per capire se un link è sicuro. Servono strumenti che seguono l'intera catena di reindirizzamento, non si fermano al primo hop.
Quante email truffa riceve la tua azienda ogni settimana?
Secondo i dati Verizon Data Breach Investigations Report, oltre l'80% delle violazioni informatiche parte da un'email. Non da exploit sofisticati di hacker con cappuccio nero: da un clic su un link sbagliato. E il link sbagliato, oggi, assomiglia sempre di più a qualcosa che conosci.
L'attacco che stiamo analizzando è efficace per tre motivi che si sommano:
La fiducia costruita in vent'anni Gli utenti si fidano istintivamente dei domini Google. Il cervello umano non è programmato per distinguere tra "visito Google Meet" e "Google Meet mi manda altrove". È una scorciatoia cognitiva che i criminali sfruttano con precisione.
Il meccanismo dell'open redirect Alcune piattaforme legittime, Google Meet inclusa, usano parametri di reindirizzamento per motivi tecnici. Un link costruito ad arte può apparire così:
meet.google.com/[codice]?continueUrl=https://pagina-truffa.com
Vedi meet.google.com. Il filtro antispam vede meet.google.com. Entrambi vi fermate lì. Il criminale ha già calcolato che non andrete oltre.
Il CAPTCHA come schermo difensivo La pagina finale è protetta da un CAPTCHA per bloccare i bot di analisi delle minacce. Se il sistema automatico non riesce ad analizzare la destinazione finale, la considera sicura e lascia passare l'email. Risultato: i filtri più datati vengono ingannati prima ancora che l'utente clicchi.
Confronto con rischi che già conosci:
| Rischio | Probabilità media PMI | Costo medio incidente |
|---|---|---|
| Incendio in ufficio | 0,02% anno | €180.000 |
| Furto fisico attrezzature | 0,4% anno | €15.000 |
| Attacco phishing riuscito | 8–12% anno | €35.000 – €200.000+ |
| Violazione dati via email | 4% anno | €82.000 (solo quota GDPR) |
Il phishing è statisticamente il rischio più concreto che un'azienda italiana affronta oggi. È più probabile di un incendio, meno visibile di un furto, e spesso più costoso di entrambi.
Mettiamola in concreto. La tua azienda ha 35 dipendenti. Uno di loro — Sara, commerciale — riceve questa email:
> «Buongiorno, ho condiviso i file aggiornati dell'offerta tramite Google Meet. Clicca qui per aprirli.»
Il mittente sembra un cliente reale. Il link punta a meet.google.com. Sara clicca, supera un CAPTCHA, si trova su una pagina di login che sembra identica a Microsoft 365. Inserisce le credenziali.
Venti minuti dopo, un criminale all'estero ha accesso alla sua casella email aziendale.
| Fase | Cosa succede |
|---|---|
| Email ricevuta | Il filtro base di Office 365 non blocca: il link è su un dominio Google |
| Utente clicca | Nessun avviso. Il browser apre meet.google.com |
| Reindirizzamento | Sara arriva sulla pagina truffa senza accorgersene |
| CAPTCHA superato | I sistemi automatici non riescono ad analizzare la destinazione finale |
| Credenziali rubate | Sara inserisce la password, l'attaccante prende il controllo |
| Rilevamento | Mediamente 197 giorni dopo |
Durante quei quasi 7 mesi, l'attaccante legge tutto: offerte commerciali, dati di clienti, comunicazioni interne con fornitori. Studia le abitudini, impara il tono dell'azienda, aspetta il momento giusto per inviare una richiesta di bonifico urgente fingendo di essere il CEO.
Costi Scenario A — caso tipico per PMI da 35 persone:
| Voce di costo | Importo stimato |
|---|---|
| Blocco e gestione crisi (3–5 giorni) | €18.000 – €45.000 |
| Recupero sistemi e dati | €8.000 – €20.000 |
| Consulenza legale e notifica GDPR | €5.000 – €15.000 |
| Comunicazione clienti e fornitori | €2.000 – €6.000 |
| Eventuale bonifico fraudolento | €20.000 – €120.000 |
| Danno reputazionale | Non quantificabile |
| Totale stimato | €53.000 – €206.000 |
| Fase | Cosa succede |
|---|---|
| Email ricevuta | Il filtro segue l'intera catena di reindirizzamento, non si ferma a meet.google.com |
| Analisi URL real-time | Il sistema identifica la destinazione finale come pagina di phishing |
| Email bloccata o contrassegnata | Sara non vede mai il link, oppure riceve un avviso chiaro |
| Dipendente protetto | Nessun clic pericoloso, nessuna credenziale rubata |
| Tempo di risposta | Millisecondi |
Costi Scenario B:
| Voce | Importo |
|---|---|
| Protezione email (35 caselle × €1,50/mese) | €52,50/mese = €630/anno |
| Incidente evitato | €0 |
| Totale annuo | €630 |
Il rapporto è circa 1 a 84, nel caso mediano. Ogni euro speso in protezione email ne risparmia 84 di danni potenziali attesi.
«Finora non ci è mai successo niente."
È la frase più costosa che un imprenditore possa pronunciare sul tema della sicurezza informatica. Di solito è seguita, nel giro di qualche mese, da: «Non capisco come sia potuto succedere."
Il problema specifico degli attacchi che sfruttano domini Google è l'invisibilità. Non arrivano da amazon-login-secure.ru. Arrivano da meet.google.com. Passano i filtri. Non fanno scattare campanelle. E quando qualcuno se ne accorge, l'attaccante è già dentro da settimane.
I costi diretti:
I costi indiretti, spesso ignorati:
Un cliente che scopre che la sua email è stata letta da un criminale attraverso il tuo account raramente perdona. Non lo dice ad alta voce — smette di rinnovare, sposta i contratti, avvisa altri colleghi. Il danno reputazionale si accumula in silenzio per anni.
E poi c'è l'effetto domino: un account compromesso è spesso il punto di partenza per attacchi verso i tuoi clienti o fornitori. A quel punto il danno diventa sistemico — e la responsabilità è almeno in parte tua.
Il calcolo del rischio atteso:
| Variabile | Valore |
|---|---|
| Probabilità incidente phishing senza protezione avanzata | ~10% anno |
| Danno medio per PMI (stime conservative) | €60.000 |
| Perdita attesa annua | €6.000 |
| Costo protezione per 35 caselle | €630 anno |
| Risparmio netto atteso | €5.370 anno |
Non è una questione di se. È una questione di quando — e di quanto ti costa farci caso tardi.
Non ti chiedo di diventare un esperto di sicurezza informatica. Ti chiedo tre azioni concrete, con budget e responsabili chiari.
La maggior parte delle aziende usa Office 365 o Google Workspace e presuppone che il filtro incluso basti. Chiedi al tuo IT — interno o esterno — di rispondere a tre domande:
Se una sola risposta è «non lo so» o «no», hai una lacuna concreta. Non ipotetica.
Per capire cosa dovrebbe fare un filtro avanzato, puoi partire dalla sezione come funziona la protezione email.
Un filtro antispam professionale che agisce sopra Office 365 o Gmail segue ogni link fino alla destinazione finale, apre gli allegati in ambienti isolati e blocca i reindirizzamenti pericolosi prima che arrivino all'utente.
Per 35 caselle, parliamo di €630–€735 l'anno. Meno di un abbonamento a qualsiasi software gestionale.
Se vuoi valutare un'opzione che include analisi URL real-time e sandbox allegati già dal primo mese, dai un'occhiata ai servizi MailSniper — attivazione in poche ore, senza cambiare provider email.
Nessun corso formale. Basta una riunione veloce dove mostri ai dipendenti un concetto solo: un link può sembrare Google e portare altrove.
Esercizio pratico: proietta uno screenshot di un link Google Meet con un reindirizzamento nascosto. Mostra prima l'URL visibile, poi la destinazione finale. Poi dì: «Se ricevete un link del genere da qualcuno che non aspettavate, chiamate prima di cliccare. Un minuto al telefono vale più di una settimana di crisi."
La tecnologia riduce il rischio. La consapevolezza lo riduce ulteriormente. I due livelli lavorano insieme.
Timeline realistica:
| Settimana | Azione | Chi |
|---|---|---|
| 1 | Audit filtro email attuale con IT | IT / Consulente |
| 2 | Valutazione e attivazione protezione aggiuntiva | IT + management |
| 3 | Sessione awareness con il team | HR + IT |
| Mensile | Report minacce bloccate + aggiornamento IT | IT |
Un link Google è diventato uno strumento di attacco. Non è un paradosso: è la logica conseguenza del fatto che i criminali puntano sempre dove la guardia è più bassa — e la guardia è più bassa dove c'è più fiducia.
La domanda da portare al prossimo consiglio di amministrazione non è «siamo protetti?» ma «il nostro filtro segue i link fino in fondo, o si ferma al dominio di superficie?». Se la risposta è incerta, il rischio è reale e quantificabile: decine di migliaia di euro di danno atteso, per un costo di prevenzione nell'ordine di qualche centinaio l'anno.
Il rapporto tra costo e beneficio non lascia spazio a molte interpretazioni.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUna nuova campagna di attacco sfrutta OAuth per rubare token di accesso a Microsoft 365, bypassando completamente l'autenticazione a più fattori. Ecco l'analisi tecnica completa con indicatori MITRE ATT&CK e mitigazioni prioritarie.
LeggiTA446 (SEABORGIUM/ColdRiver) sta sfruttando DarkSword per prendere di mira iPhone aziendali via phishing email. Ecco cosa fare lato server di posta e MDM per non ritrovarti a fare incident response il venerdì sera.
LeggiPer anni 'ho un iPhone' è sembrata una risposta sufficiente a qualsiasi preoccupazione sulla sicurezza. Poi è arrivato DarkSword — e quella certezza ha cominciato a scricchiolare.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.