Redazione MailSniper
Autore
In natura, i predatori piu' intelligenti non corrono dietro alla preda. Si appostano vicino alla fonte d'acqua e aspettano. Prima o poi, la preda arriva da sola.
Nel mondo della sicurezza informatica, funziona allo stesso modo. Un attacco watering hole non ti manda un'email con un link a caso. Il criminale compromette un sito web che frequenti abitualmente — un portale di settore, un forum professionale, un sito di associazione di categoria — e poi ti invia un'email che ti invita a visitarlo. Il sito sembra quello di sempre. Ma ora contiene codice malevolo.
E' un attacco a due fasi, sofisticato, mirato e devastante. E sta colpendo sempre piu' aziende italiane.
L'attacco si sviluppa in tre passaggi precisi.
Il criminale identifica un sito web frequentato dalle vittime designate. Se vuole colpire studi legali, compromette il portale dell'ordine degli avvocati locale. Se vuole colpire aziende manufatturiere, compromette il sito di un'associazione industriale. Se vuole colpire il settore sanitario, compromette un portale di aggiornamento medico.
La compromissione avviene sfruttando vulnerabilita' del CMS (WordPress, Joomla, Drupal) o tramite credenziali rubate. Il criminale inietta codice malevolo nelle pagine del sito — spesso uno script che rileva il browser e il sistema operativo del visitatore e attiva un exploit specifico.
La cosa insidiosa? Il sito compromesso continua a funzionare normalmente. I contenuti sono gli stessi. L'aspetto e' identico. Nessuno nota nulla.
Ora il criminale invia email mirate alle potenziali vittime. Non sono email di phishing classiche. Sono email che sembrano comunicazioni normali — un aggiornamento dal portale di settore, un invito a un webinar, una newsletter con un articolo interessante.
Il link nell'email punta al sito reale (quello compromesso). Non a un sito clone, non a un dominio sospetto. Al sito vero che la vittima conosce e di cui si fida. Questo rende l'attacco praticamente invisibile ai filtri tradizionali che verificano solo la reputazione dei domini.
Quando la vittima clicca e visita il sito compromesso, il codice malevolo si attiva. Puo' sfruttare vulnerabilita' zero-day del browser per installare malware silenziosamente. Puo' mostrare un finto aggiornamento software da scaricare. Puo' reindirizzare a una pagina di login clonata per rubare credenziali.
Il bello (per il criminale) e' che la vittima non ha mai cliccato su un link sospetto. Ha visitato un sito che frequenta ogni settimana. Come fai a sospettare?
Gli attacchi watering hole non sono casuali. Colpiscono settori specifici con alto valore dei dati.
Sanita': portali di aggiornamento medico, piattaforme di telemedicina, siti di ordini professionali. I dati sanitari valgono 10 volte piu' di una carta di credito sul dark web.
Finanza: siti di associazioni bancarie, portali di trading, forum di consulenti finanziari. L'obiettivo e' l'accesso a sistemi di pagamento e conti correnti.
Manifattura e industria: portali di supply chain, siti di associazioni industriali, piattaforme di procurement. Il target sono i sistemi OT (Operational Technology) e la proprieta' intellettuale.
Pubblica Amministrazione: portali istituzionali, siti di formazione per dipendenti pubblici. L'obiettivo e' l'accesso a dati dei cittadini e sistemi critici.
Energia: portali di settore, siti di consorzi energetici. Con la NIS2 in vigore, il settore energia e' nel mirino sia dei criminali che dei regolatori.
Ecco il problema. Un'email watering hole non ha le caratteristiche tipiche del phishing:
Un filtro antispam basato su regole statiche e reputazione dei domini non puo' intercettarla. Il sito di destinazione e' legittimo. L'email e' ben scritta. Tutto sembra in ordine.
Serve un approccio diverso.
MailSniper, basato sulla tecnologia Libraesva, affronta il watering hole con tecniche che vanno oltre la semplice reputazione.
Ogni link contenuto nelle email viene analizzato non solo al momento della consegna, ma anche al momento del click. Questo e' fondamentale per il watering hole.
Perche'? Perche' il sito puo' essere compromesso dopo che l'email e' stata consegnata. Il link era pulito quando l'email e' arrivata nella inbox. Ma quando clicchi — ore o giorni dopo — il sito potrebbe essere gia' infetto.
L'URL rewriting di MailSniper riscrive ogni link in modo che il click passi prima dal gateway di sicurezza. In quel momento, il sistema analizza la pagina di destinazione in tempo reale cercando script malevoli, redirect sospetti, exploit kit. Se rileva qualcosa di anomalo, il click viene bloccato e l'utente riceve un avviso.
MailSniper non si limita a verificare se un URL e' in una blacklist. Analizza il comportamento della pagina di destinazione:
Questo tipo di analisi rileva anche siti legittimi compromessi — esattamente lo scenario del watering hole.
Le email watering hole spesso sono una forma di spear phishing — attacchi mirati a persone o aziende specifiche. L'Adaptive Trust AI di MailSniper rileva pattern anomali nelle comunicazioni: un mittente che non ti ha mai contattato prima, un portale di settore che non ti ha mai inviato newsletter, un'email con un tono leggermente diverso dal solito.
Oltre a un gateway email professionale, ecco cosa puoi fare per ridurre il rischio.
Nel 2026, gli attacchi watering hole stanno diventando piu' sofisticati grazie all'AI. I criminali usano l'intelligenza artificiale per:
La buona notizia? Anche la difesa usa l'AI. I modelli di machine learning di MailSniper vengono aggiornati continuamente con le ultime tecniche di attacco, analizzando milioni di URL e pattern comportamentali ogni giorno.
Non aspettare che il tuo settore diventi il prossimo bersaglio. Scopri come MailSniper protegge la tua azienda dagli attacchi piu' sofisticati.
Prossimi passi:
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl fileless malware non lascia tracce su disco: vive in memoria, sfrutta PowerShell e macro VBA, e bypassa gli antivirus tradizionali. Ecco come arriva via email e come fermarlo.
LeggiUn attaccante compromette il tuo account e imposta una regola di inoltro invisibile. Anche dopo il cambio password, continua a leggere ogni tua email. Ecco come difenderti.
LeggiIl clone phishing replica email legittime gia' ricevute, sostituendo link e allegati con payload malevoli. Ecco perche' e' cosi' efficace e come difendersi.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.