Roundcube Violato: Come Verificare e
Hacker sospettati di legami cinesi hanno bucato Roundcube in università americane. Se gestisci questo webmail, devi verificare SUBITO se sei compromesso. Ecco come.
LeggiRedazione MailSniper
Autore
Pensaci un attimo. Quante email di lavoro leggi dal telefono? Se sei come la maggior parte dei professionisti italiani, la risposta e' "quasi tutte". Il 67% delle email aziendali viene aperto per la prima volta su un dispositivo mobile. E questo e' esattamente il problema.
Perche' sullo smartphone succede una cosa che non succede al desktop: abbassi la guardia. Sei in metropolitana, in coda al bar, tra una riunione e l'altra. Leggi veloce, rispondi al volo, clicchi senza pensarci troppo. I cybercriminali lo sanno benissimo. E hanno adattato le loro strategie di conseguenza.
Nel 2025 gli attacchi di phishing su mobile sono cresciuti del 52% rispetto all'anno precedente. Non e' un caso. E' una strategia deliberata. In questo articolo ti spiego perche' il mobile e' cosi' vulnerabile e, soprattutto, cosa puoi fare per proteggerti senza rinunciare alla comodita' di lavorare dal telefono.
Su un computer desktop, quando passi il mouse su un link, vedi l'URL completo in basso a sinistra nel browser. Puoi leggere l'indirizzo per intero, notare quel "bancaintesa-sicurezza.xyz" al posto di "intesasanpaolo.com". Sul telefono, questa possibilita' non esiste.
Sullo schermo di uno smartphone, gli URL vengono tagliati dopo i primi 30-40 caratteri. L'attaccante sfrutta questo limite in modo furbo. Crea un link come:
https://www.intesasanpaolo.com.verifica-sicurezza.account-update.sito-malevolo.ru/login
Sul telefono vedi solo: https://www.intesasanpaolo.com... — e sembra perfettamente legittimo. L'URL reale punta a un server russo, ma tu non lo vedi. Questa tecnica si chiama "URL padding" ed e' devastante su mobile.
Sul desktop, il tuo client email ti mostra l'indirizzo completo del mittente, eventuali banner di avviso, l'anteprima degli allegati. Su mobile, per risparmiare spazio, molte app mostrano solo il nome del mittente — non l'indirizzo email. Vedi "Mario Rossi" ma non vedi che l'email arriva da mario.rossi.support@gmail.com invece che da m.rossi@azienda.it.
E c'e' di peggio. Le notifiche push mostrano solo oggetto e prime parole del messaggio. Quante volte hai aperto un'email direttamente dalla notifica, senza nemmeno entrare nel client di posta? Su desktop non lo fai. Su mobile e' la norma.
Quando leggi email dal computer, sei seduto alla scrivania, concentrato (si spera). Quando leggi dal telefono, potresti essere ovunque: in macchina (fermo al semaforo, si intende), a pranzo, camminando, in ascensore. La tua capacita' di analisi critica crolla.
I ricercatori della University of Florida hanno misurato che il tempo medio di decisione su un'email di phishing scende da 7,2 secondi (desktop) a 3,1 secondi (mobile). Meno della meta'. E in quei 3 secondi, la probabilita' di cliccare su un link malevolo raddoppia.
Sul mobile c'e' un canale che non esiste su desktop: gli SMS. Il smishing — phishing via SMS — e' esploso negli ultimi due anni. "Il tuo pacco e' in consegna, conferma l'indirizzo", "Movimento sospetto sul tuo conto, verifica subito". Questi messaggi arrivano direttamente nel telefono, senza passare da nessun filtro antispam.
E spesso l'attacco e' ibrido: un SMS ti avvisa di un problema, ti dice di controllare l'email. Tu apri la mail (quella di phishing, preparata ad hoc) e la trovi. Due canali che si rafforzano a vicenda. Credibilissimo.
Una delle decisioni piu' importanti per la sicurezza mobile e' se fornire smartphone aziendali o permettere ai dipendenti di usare i propri dispositivi personali. E' il famoso dilemma BYOD (Bring Your Own Device).
Il BYOD piace a tutti. All'azienda perche' risparmia sull'hardware. Al dipendente perche' usa il telefono che preferisce, senza portarsi dietro due dispositivi. Ma dal punto di vista della sicurezza, e' un incubo.
Sul dispositivo personale del dipendente:
La soluzione che funziona nella pratica si chiama MDM — Mobile Device Management. Un software MDM ti permette di creare un "contenitore" sicuro sul dispositivo personale del dipendente. L'email aziendale, i documenti e le app di lavoro vivono dentro questo contenitore. I dati personali restano fuori. Se il dipendente lascia l'azienda o perde il telefono, cancelli solo il contenitore aziendale, non le foto delle vacanze.
Le soluzioni MDM piu' diffuse (Microsoft Intune, VMware Workspace ONE, Jamf per Apple) permettono anche di:
Non e' perfetto, ma e' il miglior compromesso tra sicurezza e usabilita'.
Ora veniamo alle azioni concrete. Queste sono le 7 pratiche che ogni azienda dovrebbe implementare per proteggere le email sui dispositivi mobili.
L'autenticazione a piu' fattori (MFA) e' la singola misura piu' efficace che puoi adottare. Non e' un'opinione: Microsoft ha dichiarato che l'MFA blocca il 99,9% degli attacchi di compromissione degli account.
Sul mobile e' ancora piu' importante che sul desktop. Perche'? Perche' le credenziali rubate tramite phishing mobile vengono spesso usate immediatamente — l'attaccante sa che hai il telefono in mano e che probabilmente non noterai un accesso sospetto finche' non e' troppo tardi.
Usa app di autenticazione (Microsoft Authenticator, Google Authenticator) invece degli SMS. Gli SMS possono essere intercettati con attacchi SIM swap. Le app generano codici localmente e sono molto piu' sicure.
Quando ti colleghi al Wi-Fi del bar, dell'hotel o dell'aeroporto, tutto il tuo traffico e' potenzialmente visibile a chiunque si trovi sulla stessa rete. Incluse le email.
Una VPN aziendale cifra tutto il traffico dal tuo telefono al server dell'azienda. Anche se qualcuno intercetta i dati, non puo' leggerli. Configura la VPN per attivarsi automaticamente quando il telefono si connette a reti Wi-Fi non note. La maggior parte dei client VPN aziendali lo supporta.
Accedere alla webmail aziendale dal browser del telefono e' un rischio enorme. Il browser non ha le protezioni dell'app nativa: niente certificati pre-installati, niente verifica del server, niente contenitore sicuro.
Usa le app ufficiali: Outlook per Microsoft 365, Gmail per Google Workspace. Queste app hanno protezioni integrate contro il phishing, verificano i certificati del server, e supportano la gestione MDM.
Evita assolutamente app email generiche scaricate da store di terze parti. Alcune sono malware travestito.
Il 60% delle vulnerabilita' sfruttate su mobile nel 2025 aveva una patch disponibile da piu' di 90 giorni. Il problema non era la mancanza di una soluzione — era che nessuno aveva aggiornato il telefono.
Imposta gli aggiornamenti automatici sia per il sistema operativo che per le app. Se usi un MDM, forza questa impostazione su tutti i dispositivi gestiti. Un telefono non aggiornato e' un telefono vulnerabile, punto.
Sembra banale, ma il 17% degli smartphone aziendali in Italia non ha nemmeno un PIN di blocco. Se il telefono viene rubato o dimenticato in taxi, chiunque lo trova ha accesso completo alla casella email aziendale.
Impronta digitale o Face ID. Timeout di blocco automatico a massimo 2 minuti di inattivita'. Zero eccezioni.
La formazione anti-phishing tradizionale si concentra sul desktop. Mostra come controllare gli URL passando il mouse sopra i link, come verificare il certificato SSL nel browser, come analizzare gli header email. Tutte cose che sul mobile non puoi fare — o non puoi fare facilmente.
Serve una formazione specifica che insegni ai dipendenti:
Il nostro quiz di sicurezza include scenari specifici per il mobile. Fallo fare a tutto il team — ci vogliono 5 minuti.
Ecco il punto fondamentale: tutte le best practice individuali sono utili, ma non sufficienti. Stai chiedendo a persone distratte, di fretta, su schermi piccoli, di prendere decisioni di sicurezza perfette il 100% delle volte. Non funziona.
La vera protezione avviene prima che l'email arrivi al telefono. Un gateway come MailSniper filtra ogni messaggio in entrata — analizza link, allegati, mittente, contenuto — e blocca le minacce prima che raggiungano la casella di posta. Non importa se poi il dipendente legge l'email dal desktop, dal tablet o dal telefono in coda alla posta: l'email pericolosa non c'e' proprio piu'.
Questo e' particolarmente importante per gli attacchi di phishing avanzato, dove le URL troncate e gli schermi piccoli renderebbero impossibile al dipendente riconoscere la minaccia da solo.
MailSniper si integra direttamente con Office 365 e Google Workspace a livello di gateway. Questo significa che la protezione agisce sul server, non sul dispositivo. Qualsiasi smartphone, tablet o PC che si connette alla casella email e' automaticamente protetto.
In pratica:
Non c'e' nulla da installare sullo smartphone del dipendente. Nessun agent, nessuna app aggiuntiva, nessun impatto sulla batteria. La protezione e' trasparente.
Se la tua azienda usa il BYOD — e statisticamente ci sono buone probabilita' — MailSniper risolve il problema piu' grande: non puoi controllare il dispositivo, ma puoi controllare cosa arriva nella casella email.
Anche senza MDM, anche senza VPN, anche su un telefono non aggiornato con un sistema operativo vecchio di due anni: se l'email di phishing non arriva mai nella inbox, il dispositivo non protetto non e' un problema. La sicurezza e' nel gateway, non nel device.
Ovviamente, la situazione ideale e' avere entrambi: un gateway che filtra a monte e un MDM che protegge il dispositivo. Ma se devi scegliere dove investire prima, il gateway email e' la priorita'. Protegge tutti i dispositivi, tutti gli utenti, tutti i client di posta — senza eccezioni.
La sicurezza email su mobile non e' un "nice to have". E' una necessita'. Con il 67% delle email aperte su smartphone e il phishing mobile in crescita del 52%, ignorare questo tema e' come lasciare la porta dell'ufficio aperta di notte.
Ecco tre passi concreti che puoi fare oggi:
Il tuo smartphone e' potentissimo. Ma senza la protezione giusta, e' anche il tuo punto debole. Correggilo adesso, prima che qualcun altro lo sfrutti.
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoHacker sospettati di legami cinesi hanno bucato Roundcube in università americane. Se gestisci questo webmail, devi verificare SUBITO se sei compromesso. Ecco come.
LeggiUn nuovo attacco sfrutta il flusso device code di Microsoft per rubare account M365. Ma il vero problema? Il costo che nessuno calcola. Ecco l'analisi per il CDA.
LeggiUna nuova campagna chiamata EvilTokens sta colpendo aziende in USA ed Europa con una tecnica innovativa: il ghost phishing. La pagina malevola resta crittografata e invisibile ai filtri antispam tradizionali, per poi decodificarsi solo nel browser della vittima. Analisi completa della minaccia.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.