L'attacco che ti attira con un'esca irresistibile: un file gratuito, un'offerta troppo bella, un allegato curioso. L'obiettivo? Farti abboccare.
Il baiting e un attacco di social engineering che funziona come una trappola con esca. Il criminale ti offre qualcosa di appetitoso — un file gratuito, un software craccato, un buono sconto incredibile — e aspetta che tu abbocchi.
La differenza con il phishing tradizionale? Il phishing usa la paura e l'urgenza (“Il tuo account sara bloccato!”). Il baiting usa la curiosita e l'avidita (“Scarica gratis questo software da 500 euro”). Leve diverse, stesso obiettivo: farti compiere un'azione pericolosa.
Nel mondo fisico, il baiting classico e la chiavetta USB lasciata nel parcheggio aziendale. La trovi, la colleghi al PC per curiosita, e il malware si installa. Nel mondo email, l'esca arriva sotto forma di allegati o link a download che sembrano troppo belli per essere veri. E di solito lo sono.
Immagina questo scenario. Sei al lavoro e ricevi un'email:
“Ciao, in allegato trovi il report di mercato 2026 del tuo settore — normalmente costa 299 euro, ma per questa settimana lo condividiamo gratis. Scaricalo prima che lo rimuoviamo.”
Sembra interessante, vero? Ecco come si sviluppa l'attacco:
L'attaccante crea un contenuto che sembra di valore: un report, un template Excel, un software gratuito, un buono sconto. Lo confeziona in modo credibile, spesso imitando brand noti.
Il messaggio e' scritto per sembrare legittimo. Puo' arrivare da un indirizzo che imita un fornitore, una testata di settore o un collega. L'allegato ha un nome plausibile: 'Report-Mercato-2026.pdf.exe' o un link a un sito di download.
Apri l'allegato o clicchi il link. Il file sembra normale — magari si apre davvero un PDF. Ma in background, il malware si installa: un keylogger che registra le tue password, un trojan che apre una porta di accesso, o un ransomware che cripta i file.
L'attaccante ha accesso al tuo PC. Da li' puo' rubare credenziali, dati aziendali, muoversi nella rete interna. E tu non ti sei accorto di nulla, perche' il file 'funzionava'.
“Scarica gratis la versione completa di [software famoso]”. Il file contiene il programma vero, ma con un malware nascosto dentro. Funziona, quindi non sospetti nulla.
Report di settore, template Excel con macro, whitepaper esclusivi. L'allegato contiene macro malevole che si attivano appena abiliti la modifica del documento.
“Buono Amazon da 100 euro” o “Sconto 80% su [prodotto]”. Il link porta a un sito che chiede le tue credenziali o scarica automaticamente malware.
“Ho condiviso un file con te su Google Drive/OneDrive”. Il link porta a una pagina di login falsa. Inserisci le credenziali e le hai regalate all'attaccante.
Il baiting e insidioso perche fa leva sulla curiosita, non sulla paura. Ma MailSniper lo riconosce prima che tu possa abboccare:
Ogni allegato sospetto viene aperto in un ambiente isolato. Se contiene macro malevole, dropper o payload nascosti, viene bloccato e messo in quarantena.
I link a siti di download vengono verificati in tempo reale. Se puntano a file infetti o pagine di credential harvesting, vengono disattivati.
File come 'Report.pdf.exe' o 'Fattura.xlsx.scr' vengono intercettati immediatamente. MailSniper analizza l'estensione reale, non quella visualizzata.
L'AI di MailSniper riconosce i pattern linguistici del baiting: offerte troppo generose, urgenza artificiale, mittenti sconosciuti con allegati non richiesti.
L'attacco via email piu' diffuso. Usa paura e urgenza, a differenza del baiting che usa curiosita' e avidita'.
La categoria di attacchi che sfrutta la psicologia umana. Il baiting ne e' una delle forme piu' subdole.
Il software malevolo che il baiting cerca di farti installare: keylogger, trojan, ransomware.