Team MailSniper
Autore
Sai come funziona un borseggiatore professionista nei mercati affollati?
Non lavora mai da solo. Mentre il suo complice urla, finge di cadere o crea qualsiasi tipo di confusione, lui — in silenzio, a due metri di distanza — fa il suo lavoro. Il punto non è la distrazione di per sé. È che la distrazione sposta la tua attenzione esattamente dove lui vuole.
Le campagne phishing più sofisticate funzionano allo stesso modo. E no, non parlo di quelle con errori di grammatica e link ovvi. Parlo di campagne costruite apposta per affaticare chi ti protegge — prima ancora di colpirti davvero.
È un concetto che in gergo si chiama alert fatigue weaponization, e una volta capito come funziona, guarderai diversamente qualsiasi notifica di sicurezza.
Immagina di lavorare in un ufficio dove entra un corriere ogni dieci minuti a suonare il campanello. La prima volta ti alzi, controlli, firmi. La quinta volta ti alzi e sbuffi. La decima sei già irritato. Alla ventesima, senti il campanello e pensi "ancora questo" — e magari questa volta è davvero importante, ma sei così stanco che la gestione diventa automatica, veloce, sbadata.
Ecco cosa fanno gli attaccanti moderni.
Mandano ondate di email di phishing "rumore" — tentativi mediocri, attacchi già conosciuti, varianti banali. Il loro obiettivo non è che qualcuno le clicchi. È che il team di sicurezza — o anche solo la persona incaricata di controllare le segnalazioni — si abitui a vedere una certa quantità di alert al giorno.
Quando poi arriva il vero attacco — costruito con cura, personalizzato, difficile da riconoscere — il contesto è già avvelenato. Chi analizza è stanco, ha già visto "mille false allerte", e inconsciamente abbassa la guardia.
Un pattern documentato nei principali report di sicurezza 2025-2026 è questo: le campagne phishing più pericolose non sono quelle con i link più convincenti. Sono quelle che allungano artificialmente i tempi di risposta di chi indaga.
Come? Usando tecniche deliberatamente complesse: email con allegati cifrati, link che reindirizzano più volte prima di arrivare al contenuto malevolo, domini costruiti su infrastrutture legittime compromesse. Non per rendere l'attacco più efficace in sé, ma per rendere l'analisi più lenta.
Se un'indagine su un'email sospetta richiede 12 ore invece di 5, in quelle 7 ore extra l'attacco ha già fatto danni. E mentre l'analista era occupato con quella complessità costruita a tavolino, decine di altre email sono rimaste in coda, non esaminate.
C'è anche una variante più subdola. Non un'ondata massiccia, ma un flusso continuo e sottile di alert — abbastanza da tenere sempre occupato chi gestisce la sicurezza, non abbastanza da sembrare un attacco coordinato.
È come ricevere ogni giorno tre o quattro televendite sul fisso. Non sono un'emergenza, ma dopo un mese ogni telefonata ti fa già abbassare la guardia — perché nella tua testa è diventata "roba da ignorare". E quando arriva la chiamata vera, hai già il riflesso condizionato di scartarla.
A questo punto potresti pensare: "Ma io non ho un security operations center. Sono una PMI con quindici dipendenti, non ho analisti dedicati."
Capito. Ma hai sicuramente qualcuno che risponde alle segnalazioni. Un responsabile IT, un sistemista esterno, magari il titolare stesso che dà un'occhiata alle email bloccate in quarantena ogni tanto.
E quella persona — chiunque essa sia — è il bersaglio reale di questa tattica.
Pensa a uno studio di commercialisti con dieci dipendenti. Il responsabile IT è un consulente esterno che passa ogni due settimane. Nel mezzo, le segnalazioni di email sospette si accumulano.
Quando arriva il momento di analizzarle, il consulente si trova davanti a venti messaggi. Diciannove sono spam classico, facile da escludere. Il ventesimo è un'email quasi perfetta: finge di venire da un cliente storico e include un link a un documento su OneDrive reale, con un nome file credibile.
Ha dodici minuti prima della riunione. Guarda la lista, vede "altro spam", chiude.
Non è stupidità. È stanchezza indotta. E gli attaccanti lo sanno esattamente.
Quando un attacco va a segno in questo modo, è difficile capire cosa è andato storto. Non c'è stato un errore evidente — nessuno ha cliccato su un link con tre errori di ortografia. C'è stato un momento di attenzione calata, in un contesto di sovraccarico artificiale.
Nei report post-incidente di molte aziende italiane colpite nel 2025, uno dei fattori ricorrenti non è la mancanza di strumenti tecnici. È la mancanza di tempo cognitivo per usarli bene. È come avere una cassaforte eccellente ma aprirla di fretta perché sei già in ritardo per tre appuntamenti.
La buona notizia è che non devi diventare un esperto di threat intelligence per difenderti. Ci sono cose concrete e graduali che puoi fare già da domani.
Il primo passo è più mentale che tecnico. Non tutte le segnalazioni hanno lo stesso peso. Un'email bloccata perché proviene da un dominio con zero reputazione è diversa da un'email bloccata perché tenta connessioni verso server esterni dopo l'apertura.
Definisci tre livelli: rumore di fondo (gestisci in batch una volta a settimana), alert rilevanti (analizza entro 24 ore), critici (analizza entro un'ora). Sembra banale, ma fare questo esercizio ti costringe a decidere cosa è davvero importante — e smetti di trattare tutto alla stessa velocità sbadata.
Non tutta l'analisi richiede un occhio umano. I pattern noti — phishing già catalogato, spam con firme riconosciute, URL in blacklist consolidate — possono essere gestiti in automatico senza mai occupare l'attenzione di una persona.
È qui che un buon sistema di protezione email cambia le cose: non perché blocca di più in assoluto, ma perché riduce il rumore che arriva sul radar di chi deve prendere decisioni. Meno alert inutili significa più attenzione disponibile per quelli che contano davvero.
Ogni filtro genera qualche falso positivo — email legittime bloccate per errore. Il problema è che se non li rivedi regolarmente, chi gestisce la sicurezza smette di fidarsi del sistema e inizia a ignorare le quarantene. E quando ignori la quarantena per abitudine, perdi anche le email bloccate correttamente.
Trenta minuti a settimana di revisione della quarantena non servono solo a recuperare email legittime. Servono a capire se i tuoi filtri stanno generando rumore inutile — e se sì, dove aggiustare.
Non serve uno strumento sofisticato. Basta un foglio condiviso.
Ogni volta che viene gestita una segnalazione seria, annota quando è arrivata e quanto tempo ha richiesto l'analisi. Dopo tre mesi, guardi i dati. Se il tempo medio di risposta sta aumentando senza che il volume di attacchi sia cresciuto, hai probabilmente un problema di alert fatigue — e puoi intervenire prima che diventi un incidente reale.
Molte PMI perdono tempo prezioso sulla commistione tra email sospette facilmente classificabili e quelle che richiedono analisi vera. Un sistema come MailSniper assegna livelli di rischio diversi a ogni email trattenuta, così chi fa l'analisi sa già dove concentrare l'attenzione — invece di districarsi da una lista omogenea dove tutto sembra uguale.
Molti corsi di formazione insegnano a riconoscere le email sospette. Pochissimi insegnano a gestire la stanchezza mentale che deriva da troppi alert.
Un'ora di conversazione su "come gestiamo il sovraccarico cognitivo quando prendiamo decisioni di sicurezza" vale quanto dieci ore su "come si riconosce un link malevolo". Perché il problema spesso non è sapere cosa fare — è avere la lucidità per farlo nel momento in cui serve.
Trova un momento ogni sei mesi per discutere con il tuo team non solo degli attacchi recenti, ma anche di come ci si sente quando si gestiscono le segnalazioni. È una conversazione scomoda, ma utile.
Te lo dico in modo diretto: le aziende che vengono colpite non vengono colpite sempre perché qualcuno ha cliccato su un link ovvio. Spesso vengono colpite perché nel momento esatto in cui l'attacco è arrivato, chi doveva analizzarlo era già mentalmente a pezzi.
Non è una questione di competenza. È una questione di design — gli attaccanti progettano le loro campagne per massimizzare quel momento di stanchezza. È il loro vantaggio, costruito deliberatamente.
Il tuo vantaggio è capire che questo è il gioco, e attrezzarti per non giocarlo da posizione di svantaggio. Riduci il rumore, automatizza quello che puoi, crea un sistema di priorità anche informale, e dai a chi gestisce la sicurezza il tempo per analizzare le cose davvero importanti.
Perché alla fine, la difesa che funziona non è quella più tecnologica. È quella che ancora tiene gli occhi aperti quando conta davvero.
Se vuoi capire meglio come funziona la protezione email in pratica, dai un'occhiata alle domande frequenti — trovi risposte concrete, senza giri di parole.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoUna nuova campagna di attacco sfrutta OAuth per rubare token di accesso a Microsoft 365, bypassando completamente l'autenticazione a più fattori. Ecco l'analisi tecnica completa con indicatori MITRE ATT&CK e mitigazioni prioritarie.
LeggiTA446 (SEABORGIUM/ColdRiver) sta sfruttando DarkSword per prendere di mira iPhone aziendali via phishing email. Ecco cosa fare lato server di posta e MDM per non ritrovarti a fare incident response il venerdì sera.
LeggiPer anni 'ho un iPhone' è sembrata una risposta sufficiente a qualsiasi preoccupazione sulla sicurezza. Poi è arrivato DarkSword — e quella certezza ha cominciato a scricchiolare.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.