Quando un criminale prende il controllo della tua casella email aziendale. Non si limita a leggere: agisce, impersona e attacca i tuoi contatti.
L'account takeover (ATO) e quando un attaccante riesce a entrare nella tua casella email aziendale e a prenderne il controllo completo. Non parliamo di qualcuno che ti sbircia i messaggi di nascosto. Parliamo di un criminale che usa il tuo account come se fosse il suo.
Come ci riesce? Nella maggior parte dei casi, attraverso credenziali rubate. Magari hai usato la stessa password su un sito che ha subito un data breach. Oppure hai cliccato su un link di phishing e hai inserito le tue credenziali in una pagina di login falsa. O ancora, la tua password era abbastanza debole da essere indovinata con un attacco di password spray.
Il risultato? L'attaccante legge tutte le tue email. Imposta regole di inoltro invisibili. Invia messaggi ai tuoi colleghi e clienti dal tuo vero indirizzo. E la cosa peggiore? Tu non te ne accorgi. Perche le email che manda sembrano venire davvero da te.
L'attacco segue sempre uno schema preciso. Ecco le fasi:
L'attaccante ottiene le tue credenziali. I metodi piu' comuni sono tre: credential stuffing (prova password rubate da data breach precedenti), password spray (prova password comuni su molti account), oppure phishing mirato con una pagina di login falsa.
Una volta dentro, il criminale non fa nulla di vistoso. Per prima cosa studia: legge le email recenti, capisce chi sono i tuoi interlocutori, quali operazioni economiche sono in corso, come comunichi. Raccoglie informazioni.
Per non perdere l'accesso, l'attaccante crea regole di inoltro automatiche: ogni email che ricevi viene copiata su un suo indirizzo esterno. Sposta le risposte sospette nel cestino, cosi' non le vedi. Alcune volte aggiunge un metodo di recupero (numero di telefono o email secondaria) per mantenere il controllo.
Ora arriva il colpo vero. L'attaccante invia email ai tuoi colleghi, clienti o fornitori — dal tuo vero indirizzo. Chiede di cambiare l'IBAN per un pagamento. Invia fatture false. Richiede documenti riservati. E' un attacco BEC (Business Email Compromise) perfetto, perche' l'email proviene davvero da te.
L'account takeover non e un attacco singolo. E il risultato di diverse tecniche. Ecco le principali:
Bot automatici provano milioni di combinazioni email+password rubate da data breach precedenti. Se riusi la stessa password, basta che un sito venga violato per perdere tutti gli account.
Invece di provare molte password su un account, l'attaccante prova poche password comuni (“Password123”, “Azienda2026”) su centinaia di account. Evita i blocchi per troppi tentativi.
Un'email che imita la pagina di login di Microsoft 365 o Google Workspace. Inserisci le credenziali, e le hai appena regalate all'attaccante. E il metodo piu efficace in assoluto.
L'attaccante ruba il token di sessione del browser (tramite malware o rete Wi-Fi compromessa). Non serve nemmeno conoscere la password: il token da accesso diretto.
A differenza di un'email di phishing inviata da un indirizzo sconosciuto, un account takeover usa la tua vera identita. Ecco perche il danno e enorme:
piu efficace di un phishing tradizionale: l'email arriva dal tuo vero indirizzo
tempo medio prima che un'azienda scopra l'account compromesso
costo medio di un data breach causato da credenziali compromesse (IBM 2024)
Il problema piu grave? I filtri antispam tradizionali non bloccano queste email, perche provengono da un account legittimo. SPF, DKIM e DMARC passano tutti i controlli. Calcola il rischio per la tua azienda con il Calcolatore Costo Attacco.
Prevenire un account takeover richiede un approccio su piu livelli. Nessuna misura da sola basta:
Scopri di piu sull'autenticazione multi-fattore e perche e la tua prima linea di difesa.
MailSniper non si limita a bloccare lo spam. E progettato per riconoscere i segnali di un account takeover, sia in entrata che in uscita:
Le email con link a pagine di login false vengono bloccate prima che arrivino alla tua casella. Nessun click, nessun rischio.
MailSniper analizza il comportamento delle email in uscita e rileva quando un account interno inizia a inviare messaggi anomali.
Se un partner o fornitore ha subito un account takeover e ti scrive dal suo vero indirizzo, MailSniper rileva i segnali sospetti: richieste di pagamento insolite, urgenza forzata, IBAN diversi.
Ogni link viene verificato con sandboxing: se punta a una pagina di credential harvesting, viene bloccato e segnalato.