Un attacco silenzioso: il criminale configura una regola di inoltro nascosta e riceve copia di ogni tua email. Senza che tu te ne accorga.
L'email forwarding attack e una tecnica subdola. Dopo aver ottenuto accesso alla tua casella email — magari tramite account takeover — il criminale non si limita a leggere i tuoi messaggi. Crea una regola di inoltro automatico verso un indirizzo esterno.
Da quel momento, ogni email che ricevi viene copiata e spedita anche a lui. Silenziosamente. Tu continui a usare la casella normalmente, senza notare nulla di strano. Ma qualcun altro legge tutto: offerte commerciali, documenti riservati, fatture, conversazioni interne.
La parte piu insidiosa? Anche se cambi la password, la regola di inoltro resta attiva. Il criminale non ha piu bisogno di accedere al tuo account: i messaggi gli arrivano lo stesso, in automatico.
L'attacco segue fasi precise. Ecco cosa succede dietro le quinte:
L'attaccante accede alla casella email tramite credenziali rubate (phishing, credential stuffing, password spray). Questa e' la fase iniziale, identica a un account takeover classico.
Una volta dentro, il criminale va nelle impostazioni della casella e crea una regola di inoltro automatico. Tutti i messaggi in arrivo vengono copiati verso un indirizzo email esterno, spesso su un servizio gratuito difficile da tracciare.
Per non destare sospetti, l'attaccante cambia il nome della regola in qualcosa di innocuo o la nasconde tra le regole esistenti. Su alcuni client, la regola non e' nemmeno visibile dall'interfaccia web standard.
Da questo momento, il criminale riceve ogni tua email senza fare nulla. Nessun login sospetto, nessuna attivita' anomala. Puo' aspettare settimane o mesi prima di agire, raccogliendo informazioni su pagamenti, trattative e contatti chiave.
L'email forwarding attack e una variante specifica dell'inbox rules attack. Ma c'e una differenza importante:
L'attaccante manipola le regole della casella per nascondere email, spostare messaggi nel cestino o bloccare notifiche. L'obiettivo e controllare cosa vedi e cosa no. Puo includere l'inoltro, ma non solo.
L'obiettivo e uno solo: copiare tutto. Non serve nascondere nulla perche tu non sai che la regola esiste. E piu focalizzato, piu silenzioso e piu difficile da scoprire. E' il metodo preferito per lo spionaggio commerciale.
In pratica, l'inbox rules attack e il coltellino svizzero. L'email forwarding attack e il cecchino: un unico obiettivo, massima precisione.
Questo attacco ha una caratteristica che lo rende devastante: la persistenza. Anche dopo aver risolto la compromissione iniziale, il danno continua.
degli account compromessi ha regole di inoltro create dall'attaccante
tempo medio prima che una regola di inoltro malevola venga scoperta
anche dopo il cambio password: la regola resta attiva finche non la rimuovi manualmente
Pensa a questo scenario: scopri che un account e stato compromesso. Cambi subito la password. Attivi l'MFA. Pensi di aver risolto. Ma la regola di inoltro e ancora li, invisibile. Il criminale continua a ricevere ogni tua email. Per settimane. Per mesi.
MailSniper e progettato per intercettare i segnali di un email forwarding attack su piu livelli:
MailSniper monitora le modifiche alle regole di inoltro e segnala immediatamente la creazione di nuove regole verso indirizzi esterni non autorizzati.
La compromissione parte quasi sempre da un'email di phishing. MailSniper la blocca prima che arrivi, impedendo il furto delle credenziali che avvia l'attacco.
Se un account inizia improvvisamente a inoltrare grandi volumi di email verso un indirizzo esterno, MailSniper lo rileva e genera un alert per il team IT.
I report periodici includono un riepilogo delle regole di inoltro attive su tutti gli account, permettendo al team IT di individuare regole sospette.
L'attacco piu' ampio che manipola le regole della casella email per nascondere messaggi e mantenere l'accesso.
La compromissione iniziale dell'account che rende possibile creare regole di inoltro malevole.
Una delle tecniche principali per ottenere l'accesso iniziale all'account della vittima.