L'attaccante entra nel tuo account email e crea regole nascoste. Da quel momento, i tuoi messaggi vengono reindirizzati, cancellati o nascosti -- e tu non te ne accorgi.
Un inbox rules attacke' una tecnica subdola: dopo aver ottenuto accesso al tuo account email (tramite phishing, credenziali rubate o credential stuffing), l'attaccante non si limita a leggere le tue email. Crea delle regole automatiche nella tua casella.
Queste regole fanno cose come: inoltrare tutte le email contenenti “fattura” o “bonifico” a un indirizzo esterno. Oppure spostare le notifiche di sicurezza nel cestino. Oppure nascondere le risposte di certi contatti in una cartella invisibile.
La cosa peggiore? Anche se cambi la password dopo aver scoperto la compromissione, le regole restano attive. L'attaccante continua a ricevere le tue email. E' come cambiare la serratura di casa ma lasciare una telecamera nascosta in salotto.
L'attaccante ottiene le credenziali della vittima tramite phishing, credential stuffing, malware o password deboli. Accede alla casella email -- di solito Outlook, Exchange o Gmail.
Una volta dentro, l'attaccante va nelle impostazioni delle regole inbox e ne crea diverse: auto-forward di email con keyword specifiche ("pagamento", "IBAN", "fattura"), eliminazione automatica di alert di sicurezza, spostamento in cartelle nascoste delle risposte scomode.
L'attaccante esce dall'account e aspetta. Le regole lavorano per lui 24/7. Riceve copie delle email sensibili senza dover accedere di nuovo. Puo' rimanere in ascolto per settimane o mesi.
Quando ha raccolto abbastanza informazioni (importi, fornitori, scadenze), lancia l'attacco vero: un'email BEC con IBAN modificato, una fattura falsa, o una richiesta di bonifico urgente. Conosce nomi, cifre e tempistiche -- perche' legge le tue email da settimane.
Gli attaccanti usano diverse strategie. Ecco le regole che creano piu' spesso:
Tutte le email (o quelle con keyword specifiche) vengono inoltrate automaticamente a un indirizzo esterno controllato dall'attaccante. La regola piu' pericolosa.
Email di notifica di sicurezza, alert di accesso da nuovi dispositivi, messaggi di reset password -- tutto finisce nel cestino prima che tu li veda.
Le risposte di certi contatti vengono spostate in cartelle con nomi innocui o in sottocartelle che non controlli mai. L'attaccante le legge, tu no.
Le email vengono automaticamente segnate come gia' lette. Niente notifica, niente badge di "non letto". Non ti accorgi che sono arrivate.
La difesa richiede prevenzione (evitare la compromissione) e rilevamento (scoprire le regole malevole se l'account viene compromesso):
Il punto chiave
Cambiare la password dopo una compromissione non basta. Se non controlli e cancelli le regole malevole, l'attaccante continua a ricevere le tue email anche senza accesso diretto all'account. E' il motivo per cui molti attacchi BEC durano mesi prima di essere scoperti.
MailSniper agisce su piu' livelli per prevenire e rilevare gli inbox rules attack:
La maggior parte degli inbox rules attack inizia con un'email di phishing. MailSniper blocca il 99.9% delle email di phishing prima che arrivino nella casella, eliminando il vettore d'attacco alla radice.
I link a pagine di login false vengono analizzati in tempo reale. Anche se l'email sembra legittima, MailSniper rileva le pagine di credential harvesting e blocca l'accesso.
Se un attaccante riesce a compromettere un account e usa le informazioni rubate per lanciare un attacco BEC, il motore AI di MailSniper rileva le anomalie nel tono, nelle richieste e nei pattern di invio.
MailSniper monitora i pattern di invio e ricezione. Un cambiamento improvviso -- come email che spariscono o forwarding anomalo -- viene segnalato all'admin.
Il Business Email Compromise spesso usa gli inbox rules attack come tecnica di persistenza dopo la compromissione.
Il vettore iniziale piu' comune per compromettere l'account e creare regole malevole.
Le difese specifiche di MailSniper contro gli attacchi Business Email Compromise.