Team MailSniper
Autore
Il 14 marzo 2026, alle 7:43 del mattino, Marco Ferraris stava sorseggiando il suo primo caffè quando il suo telefono iniziò a vibrare. Non una volta, non due. Quindici chiamate perse in tre minuti. Il suo cuore accelerò. Dall'altra parte della linea, la voce del responsabile IT della borsa valori era tremante: «Abbiamo un problema. Un grosso problema. Qualcuno ha avuto accesso alla tua casella email per... mesi.»
Marco era il direttore delle operazioni di una delle principali borse valori europee. Ogni sua email conteneva informazioni sensibili: merger in corso, quotazioni imminenti, strategie di trading. Per otto mesi, qualcuno aveva letto tutto. E lui non se n'era accorto.
La sera prima, durante un controllo di routine, il team IT aveva notato qualcosa di strano: una regola di inoltro che nessuno aveva creato. Ogni email in arrivo veniva reindirizzata a un indirizzo esterno, registration-updates@mail-service[.]xyz. Un indirizzo che sembrava legittimo, che passava tutti i filtri spam, che non aveva mai generato un alert.
Ma non era solo quello. C'erano sessioni PowerShell eseguite dal suo computer a ore impossibili, mentre Marco dormiva. C'erano connessioni RDP verso server sconosciuti. E c'erano copie di ogni singola email, ogni allegato, ogni conversazione riservata, che viaggiavano silenziosamente verso un server controllato dagli hacker.
Otto mesi. Seicento giorni di borsa. Migliaia di email. E nessuno se n'era accorto.
Quello che è successo a Marco non è un caso isolato. È la nuova normalità della cybersecurity aziendale.
Gli attacchi email mirati contro il settore finanziario sono aumentati del 340% negli ultimi tre anni. Ma non parliamo delle vecchie truffe nigeriane o delle email piene di errori grammaticali. Parliamo di operazioni chirurgiche, silenziose, che sfruttano gli strumenti che ogni azienda già ha installato.
Il settore finanziario è nel mirino perché è dove girano i soldi. Una singola informazione su un merger in corso può valere milioni di euro sui mercati. E gli hacker lo sanno.
Il problema principale? La maggior parte delle aziende si fida ciecamente dei propri strumenti di sicurezza. Il firewall blocca il traffico sospetto. L'antivirus cerca malware conosciuto. Il filtro antispam ferma le email очевидно dannose. Ma quando l'attacco usa gli stessi strumenti che l'azienda usa ogni giorno, come fai a fermarlo?
PowerShell è installato su ogni computer Windows. È legittimo, è necessario, è usato dai sistemi IT. E proprio per questo, nessun filtro lo blocca. È come se un ladro entrasse in casa tua usando le chiavi che hai sotto lo zerbino.
I gruppi criminali lo sanno. E lo sfruttano.
Tutto inizia con un click. Sempre.
In questo caso, probabilmente una email di phishing apparentemente innocua: un falso avviso di fattura scaduta, un documento condiviso su Google Drive, un falso invito a una riunione Teams. Marco avrà cliccato quel link probabilmente senza nemmeno accorgersene, mentre rispondeva a tre email contemporaneamente.
Quello che è successo dopo è la parte interessante. Nessun malware complesso è stato scaricato. Nessun exploit zero-day ha bucato il sistema. Gli hacker hanno semplicemente usato whatava già presente.
Primo step: il furto delle credenziali. Attraverso un sito di phishing mirroring perfettamente la pagina di login di Microsoft 365, Marco ha inserito la sua password. Era l'unica cosa che serviva.
Ma qui viene il trucco. Invece di usare le credenziali direttamente, gli hacker hanno aspettato. Hanno aspettato che Marco accedesse dal suo computer, hanno catturato il token di sessione, e poi hanno impersonato il suo account senza dover rifare il login.
Secondo step: l'accesso silenzioso. Usando le API di Microsoft Graph, gli hacker hanno creato una «subscribe» che inviava automaticamente una copia di ogni nuova email a un server esterno. È come avere una copia della tua posta che arriva a casa del ladro ogni volta che il postino consegna.
Terzo step: gli strumenti nativi. Sul computer di Marco, gli hacker hanno eseguito script PowerShell che scaricavano gli allegati, li analizzavano, e li inviavano al server di comando e controllo. Il tutto senza installare nulla, senza generare alcun allarme, usando gli stessi strumenti che l'IT usa per gestire le workstation.
Quarto step: la permanenza. Hanno creato regole di inoltro nascoste, accessi API persistenti, e backup nascosti. Anche se Marco avesse cambiato password, loro sarebbero rimasti dentro.
E il risultato? Otto mesi di accesso completo alla sua casella email. Ogni email, ogni allegato, ogni informazione riservata. E zero allarmi.
Il danno economico diretto è difficile da quantificare. Ma alcune stime parlano di perdite nell'ordine delle decine di milioni di euro.
Informazioni su fusioni acquisizioni sono state usate per operazioni di borsa illegali. Strategie di trading sono state anticipate. Clienti importanti sono stati contattati da concorrenti che sapevano esattamente cosa proporre.
Ma il danno reputazionale è peggio. La borsa valori in questione ha perso la fiducia degli investitori. I regolatori sono intervenuti. Il consiglio di amministrazione ha dovuto spiegare come fosse possibile un attacco del genere.
E poi ci sono le conseguenze legali. Il responsabile della sicurezza IT è stato licenziato. Marco Ferraris è stato messo in aspettativa. E la società sta affrontando cause legali da parte degli azionisti che accusano la dirigenza di negligenza.
Tutto questo per una regola di inoltro che nessuno aveva notato. Per uno script PowerShell che sembrava legittimo. Per un attacco che non ha usato nessun malware, nessun exploit, nessuna vulnerabilità.
Solo gli strumenti che già avevi.
La difesa non è impossibile. Ma richiede un cambio di mentalità.
Primo: non fidarti del login. Una password non basta più. Servono sistemi di autenticazione forte, preferibilmente con token hardware o app di autenticazione. E soprattutto, servono alert quando qualcuno accede da un dispositivo nuovo.
Secondo: monitora il comportamento. Se un account che di solito invia 50 email al giorno improvvisamente ne invia 500, c'è qualcosa che non va. Se PowerShell gira di notte sul computer di un dirigente finanziario, qualcuno dovrebbe chiedersi perché.
Terzo: segmenta le informazioni. Non tutti hanno bisogno di vedere tutto. Un dirigente delle operazioni non dovrebbe avere accesso automatico a informazioni su merger in corso. E quelle informazioni, quando esistono, dovrebbero viaggiare su canali separati.
Quarto: forma le persone. Sembra banale, ma è l'anello debole. Marco Ferraris era un professionista esperto. Ma era anche umano. E gli umani cliccano.
Esistono soluzioni dedicate che possono aiutare. MailSniper, ad esempio, utilizza tecnologie di intelligenza artificiale per analizzare i pattern comportamentali delle email e rilevare anomalie come le regole di inoltro sconosciute o gli accessi API sospetti. Non è l'unica opzione, ma è una delle soluzioni che può fare la differenza.
Il tuo IT sa cosa gira sui computer dei tuoi dirigenti di notte? Sa quante email vengono inoltrate a indirizzi esterni? Sa se qualcuno sta usando le API di Microsoft 365 per accedere alla casella di qualcun altro?
Se la risposta è no, forse è il momento di chiedertelo.
Perché gli hacker non hanno bisogno di strumenti complessi. Hanno bisogno che tu smetta di guardare.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoI ricercatori hanno scoperto che PCPJack ha usato 230 nodi cloud come relay email. Il problema? I tool esposti online hanno rivelato tutto. Ecco come capire se il tuo server è stato già compromesso e come difenderti.
LeggiLe truffe WhatsApp nel 2026 hanno raggiunto un livello di sofisticazione senza precedenti. Dalla classica frode del 'finto figlio' ai task scam con investimenti crypto, fino al voice cloning AI-driven, gli attaccanti sfruttano psicologia, urgenza e la fiducia implicita nel canale. Analisi completa delle tecniche, impatto aziendale e strategie di mitigazione.
LeggiUn threat actor ha compromesso 230 server cloud per inviare spam e phishing. Il problema? Le email sembrano provenire da provider affidabili. Ecco il costo reale per la tua PMI e il piano d'azione in 3 mosse.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.