Team MailSniper
Autore
Immagina di abitare in un grande condominio. È lunedì mattina, stai per uscire per andare in ufficio, quando senti il citofono. Una voce dice: "Consegna Amazon per il terzo piano". Apri, perché aspetti un pacco. Peccato che quella stessa voce, mezz'ora prima, abbia suonato al primo piano dicendo "Sono il tecnico del gas", e al quarto dicendo "Consegna del corriere". Uno che prova lo stesso trucco su tutti, sperando che qualcuno abbocchi.
Questo è esattamente quello che sta succedendo in Israele (e negli Emirati Arabi Uniti) da mesi. Solo che al posto del citofono c'è Microsoft 365, e al posto del finto corriere c'è un gruppo di hacker legato all'Iran. Hanno preso di mira più di 300 organizzazioni, ma non hanno usato tecniche da film con codici che scorrono sullo schermo. Hanno semplicemente provato password banali su migliaia di account, aspettando che qualcuno avesse la "porta" virtuale sbloccata.
Si chiama password spraying, ed è più stupido di quanto pensi. Ma anche più pericoloso.
Mettiamola semplice. Il "password spraying" è come avere un mazzo di chiavi molto comuni e provarle su tutte le porte del quartiere. Gli attaccanti prendono liste di indirizzi email di dipendenti di aziende (si trovano facilmente online o si comprano per pochi spiccioli) e provano le password che la gente usa davvero: "Password123", "Primavera2025", il nome dell'azienda più l'anno in corso.
La differenza con il classico "brute force" (dove provano migliaia di combinazioni su un solo account finché non si blocca) è che qui fanno il contrario. Fanno un tentativo per ogni account, poi aspettano qualche ora, poi riprovano con un'altra password comune. È come il ladro che suona a tutti i campanelli una volta sola. Se nessuno apre, torna il giorno dopo con un altro pretesto.
Microsoft 365 è il bersaglio perfetto perché è la cassaforte digitale moderna. Se entri lì, hai l'email, i documenti su OneDrive, le chat su Teams, la rubrica dei clienti. Non devono installare virus complicati: devono solo trovare quell'impiegato che ha messo come password "Azienda2024" o il nome del cane seguito dal 123.
Ecco il punto: non stanno "hackerando" nel senso cinematografico del termine. Stanno semplicemente bussando e aspettando che qualcuno apra. Come quando provi a girare la maniglia di una macchina parcheggiata: se è chiusa, passi oltre. Se è aperta, hai vinto.
"Ma io ho uno studio di commercialisti a Bologna, che c'entro con la geopolitica del Medio Oriente?" C'entri eccome. Perché se questa tecnica funziona contro ministeri e aziende high-tech israeliane, figurati contro la tua PMI italiana.
Le piccole e medie imprese qui sono il target ideale. Avete Microsoft 365 (o Google Workspace), avete dipendenti che usano password facili da ricordare, e spesso pensate che "tanto siamo piccoli, chi vuole attaccarci?". È un po' come lasciare la bici senza lucchetto davanti al bar perché "tanto qui la conoscono tutti".
Pensa ai numeri concreti. Se un attaccante entra nella tua casella email aziendale, cosa trova? Fatture da emettere, ordini dei clienti, contratti in negoziazione, accessi al conto corrente aziendale. Bloccare quell'accesso per una settimana significa perdere lo stipendio di tre mesi, minimo. E non sto parlando del riscatto: parlo semplicemente del caos di dover recuperare password, avvisare clienti, dimostrare che sei ancora in attività.
Poi c'è la catena di Sant'Antonio. Se rubano le tue credenziali e inviano email ai tuoi fornitori chiedendo di cambiare IBAN per il pagamento, quanto ci metti a scoprire che è una truffa? Spesso troppo tardi. La protezione email aziendale non è un optional per i grandi: è il lucchetto della tua bici digitale.
E se pensi che i tuoi dipendenti siano furbi, fai una prova. Quanti usano "Figlio1990", "Juventus2023" o "Password"? Gli attaccanti hanno liste con le 10.000 password più usate al mondo. Basta che ne indovinino una su cento, e sono dentro.
Non devi diventare un esperto di sicurezza informatica. Serve solo smettere di lasciare la chiave sotto lo zerbino digitale. Ecco cinque cose concrete, dal più semplice al più "tecnico":
1. Attiva la doppia verifica (MFA) È come avere due portoni invece di uno. Anche se un attaccante indovina la password, gli serve un secondo codice che arriva sul tuo telefono o generato da un'app. Su Microsoft 365 si attiva in dieci minuti e blocca il 99% di questi attacchi. Non è un optional, è come il casco in moto: mettitelo.
2. Password lunghe, non complicate Dimentica "Tr0ub4dor&3" che nessuno ricorda. Meglio una frase tipo "IlMioGattoMangia3VolteAlGiorno". È lunga (quindi sicura), è facile per te, è impossibile per loro da indovinare. E soprattutto: usa password diverse per ogni servizio. Se usi la stessa ovunque e la rubano da un sito di ricette di cucina, hanno automaticamente accesso alla tua email aziendale.
3. Controlla chi bussa Microsoft 365 tiene un registro degli accessi. Dacci un'occhiata ogni tanto, come quando controlli le telecamere di sorveglianza del negozio. Se vedi accessi dall'Iran o dalla Russia alle 3 di notte (ora italiana) mentre tu stavi dormendo, qualcosa non torna. È gratis e ti mette l'ansia giusta.
4. Parlane a colazione Non serve un corso di formazione da quattro ore noiosissimo. Basta un caffè con i colleghi: "Ragazzi, se vedete una richiesta di password strana, o un avviso di accesso insolito, chiamatemi prima di cliccare". Creare l'abitudine a chiedere conferma. Come quando non apri il portone se non riconosci la voce al citofono, anche se dice che è il tecnico.
5. Affidati a un sistema che guarda il comportamento Qui puoi usare strumenti che analizzano come qualcuno tenta di entrare. Servizi come MailSniper, per esempio, non guardano solo il contenuto delle email, ma i pattern di accesso. Se vedono 300 tentativi da IP sospetti in mezz'ora, bloccano l'attacco prima che qualcuno indovini la password giusta. Ecco come funziona l'analisi comportamentale nel dettaglio.
Guarda, non sto dicendo di trasformare il tuo ufficio in una fortezza. Ma questa storia israeliana ci insegna una cosa semplice: i ladri non entrano sempre sfondando le finestre con il manganello. Spesso bussano gentilmente e aspettano che qualcuno apra per sbaglio.
La buona notizia è che chiudere a chiave basta davvero. Attiva quella doppia verifica su Microsoft 365 oggi stesso, anche se ti sembra una rottura. Cambia quella password "Azienda2024" con qualcosa di più lungo e personale. E parla con i tuoi dipendenti come parleresti con un amico al bar: "Occhio alle email strane, eh? Se qualcosa puzza, chiediamo prima di cliccare".
Non serve spendere migliaia di euro in software complicati. Serve solo smettere di pensare che "a me non capita". Perché quando arrivano questi attacchi, colpiscono proprio chi crede di essere troppo piccolo per essere preso di mira. E non è bello scoprire di avere lasciato la porta aperta quando è troppo tardi per chiuderla.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoI truffatori ora inviano email che sembrano provenire da Apple, sfruttando la fiducia nei brand tecnologici. Un singolo dipendente ingannato può costare alla tua azienda tra i 25.000 e i 50.000 euro. E il filtro antispam tradizionale non basta.
LeggiUna nuova piattaforma criminale chiamata ATHR combina operatori umani e agenti vocali AI per eseguire attacchi di vishing completamente automatizzati. Ecco cosa significa per la sicurezza della tua azienda.
LeggiDa ottobre 2025, gruppi criminali sfruttano n8n, piattaforma di automazione AI, come vettore per campagne di phishing e distribuzione malware. L'abuso di webhooks legittimi bypassa i filtri di sicurezza tradizionali. Analisi completa delle tecniche, impatto e raccomandazioni per la difesa.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.