Un attacco che clona un'email vera che hai gia' ricevuto, sostituendo i link con trappole. La riconosci, ti fidi, ci clicchi. Ed e' esattamente quello che vuole l'attaccante.
Il clone phishinge uno degli attacchi piu subdoli che esistano. L'idea e semplice: l'attaccante prende un'email vera che hai gia ricevuto — magari una fattura dal tuo fornitore, un link di condivisione da un collega, o una notifica dal tuo gestionale — e ne crea una copia identica.
L'unica differenza? I link o gli allegati sono stati sostituiti con versioni malevole. L'attaccante ti reinvia il messaggio dicendo qualcosa come “scusa, link aggiornato” o “versione corretta del documento”. Tu vedi un'email che riconosci, da un mittente che conosci, con un contenuto che ti aspetti.
E ci clicchi. Perche non hai nessun motivo per dubitare. A differenza di un phishing tradizionale — con errori grammaticali e mittenti sconosciuti — qui tutto sembra perfettamente legittimo.
L'attacco segue un flusso preciso che lo rende particolarmente efficace:
L'attaccante ottiene accesso a un'email legittima gia' inviata. Puo' farlo compromettendo la casella del mittente, intercettando il traffico, oppure semplicemente ricevendo l'email come destinatario e usandola come modello.
Il messaggio viene duplicato: stesso oggetto, stesso layout, stessi loghi, stesse informazioni. L'attaccante cambia solo i link (che ora puntano a siti malevoli) o gli allegati (che ora contengono malware).
L'email clonata viene inviata alla vittima con una scusa plausibile: 'Ecco il link aggiornato', 'Ho corretto il documento', 'Il file precedente aveva un errore'. Spesso viene inviata dallo stesso indirizzo del mittente originale, se compromesso.
La vittima riconosce l'email, ricorda di averla gia' vista, e clicca senza esitare. Il link porta a una pagina di credential harvesting oppure l'allegato installa un malware. L'attaccante ha vinto.
Il clone phishing sfrutta l'arma piu potente in assoluto: la fiducia. Non devi convincere la vittima ad aprire un'email sconosciuta. Devi solo mostrarle qualcosa che ha gia visto.
Quando riconosci un'email che hai gia ricevuto, il tuo cervello abbassa le difese. Non controlli il link, non verifichi l'allegato. E' una reazione naturale, e i criminali lo sanno bene.
L'email originale era legittima e ha superato tutti i controlli. Il clone e quasi identico, quindi i filtri basati su pattern e reputazione spesso non lo bloccano.
A differenza dello spear phishing, dove l'attaccante deve creare un messaggio da zero, qui parte da un'email reale. Il risultato e quasi indistinguibile dall'originale.
Se l'attaccante compromette un account, puo inviare cloni a tutti i contatti della vittima. Ogni destinatario riconosce il mittente e il contenuto. L'attacco si propaga a catena.
Ecco come si presenta un clone phishing nella vita reale:
Un fornitore ti ha inviato una fattura via email la settimana scorsa. Oggi ricevi la stessa email con scritto “Fattura corretta — la precedente aveva un errore nell'IBAN”. Il PDF allegato e identico, ma l'IBAN e quello dell'attaccante. Paghi senza controllare: i soldi finiscono sul conto sbagliato.
Un collega ti aveva condiviso un documento su Google Drive. Ricevi un'email identica: “Ho aggiornato il file, usa questo link”. Il link porta a una pagina di login Google falsa. Inserisci le credenziali e subisci un account takeover.
Hai ricevuto una notifica di tracking da un corriere. L'attaccante la clona e la reinvia con “tracking aggiornato”. Il link porta a un sito che installa un malware sul tuo dispositivo.
I filtri tradizionali guardano la reputazione del mittente e le firme malware conosciute. Non bastano contro il clone phishing. MailSniper va piu a fondo:
MailSniper confronta ogni email in arrivo con quelle gia' ricevute. Se un messaggio e' quasi identico a uno precedente ma con link o allegati diversi, scatta un allarme immediato.
Ogni link viene verificato con sandboxing. Se il link originale puntava a Google Drive e il clone punta a un dominio sospetto, MailSniper lo blocca.
Gli allegati vengono analizzati in sandbox. Se un PDF contiene macro nascoste o link malevoli incorporati, viene messo in quarantena prima che tu lo apra.
Quando un'email 'aggiornata' arriva dallo stesso mittente con lo stesso oggetto, MailSniper aggiunge un banner di avviso: 'Attenzione: questa email e' simile a una ricevuta in precedenza con link diversi.'
L'attacco generico da cui il clone phishing evolve: email false che rubano credenziali o installano malware.
Phishing mirato a una persona specifica. Il clone phishing e' la sua versione piu' raffinata.
Falsificazione dell'indirizzo mittente, spesso usata per rendere il clone ancora piu' credibile.