L'attaccante compromette un sito che il tuo settore visita ogni giorno. Poi ti manda un'email con un link a quel sito. Tu ci vai, perche' ti fidi. Ed e' la trappola perfetta.
Il nome viene dal mondo animale: i predatori aspettano le prede alla pozza d'acqua, perche sanno che prima o poi ci andranno. Nel mondo digitale, il watering hole email funziona allo stesso modo.
L'attaccante identifica un sito web frequentato regolarmente dal settore che vuole colpire. Puo essere un portale di associazione di categoria, un sito di notizie specializzate, un forum tecnico o un repository di documentazione. Lo compromette inserendo codice malevolo.
Poi arriva la componente email. Invece di aspettare che le vittime visitino il sito da sole, l'attaccante invia email mirate: “Nuovo aggiornamento normativo”, “Report di settore appena pubblicato”, “Importante comunicazione dall'associazione”. Il link punta al sito compromesso. La vittima ci clicca perche conosce e si fida di quel sito.
Il watering hole email combina due fasi distinte: la compromissione del sito e la campagna email. Ecco il flusso completo:
L'attaccante studia il settore target: quali siti visitano i dipendenti, quali newsletter leggono, quali portali usano per aggiornamenti normativi o tecnici. Raccoglie informazioni da LinkedIn, siti aziendali, comunicati stampa.
Il sito identificato viene compromesso tramite vulnerabilita' del CMS, plugin non aggiornati o credenziali rubate. L'attaccante inserisce codice malevolo che si attiva solo per visitatori con specifici IP o caratteristiche del browser — cosi' non viene rilevato facilmente.
L'attaccante invia email che sembrano comunicazioni legittime del settore. Il link punta al sito compromesso, ma il pretesto e' credibile: un nuovo report, un aggiornamento normativo, un evento. L'email puo' venire da un indirizzo spoofato dell'associazione stessa.
Quando la vittima visita il sito, il codice malevolo si attiva. Puo' sfruttare vulnerabilita' zero-day del browser per installare malware, rubare credenziali tramite pagine di login iniettate, o avviare download drive-by di trojan.
Il watering hole classico compromette un sito e aspetta che le vittime arrivino da sole. La variante email aggiunge un elemento cruciale:
Il sito viene compromesso e l'attaccante aspetta passivamente. Il successo dipende dalla frequenza con cui le vittime visitano il sito. Puo volerci tempo.
L'email spinge attivamente le vittime verso il sito compromesso. L'attacco e piu veloce, piu mirato e ha un tasso di successo molto piu alto. La componente email crea urgenza e un pretesto credibile per visitare il sito.
In pratica, la variante email trasforma un attacco opportunistico in un attacco chirurgico. E la rende molto piu simile allo spear phishing, ma con un vantaggio enorme: il link nell'email punta a un sito legittimo, non a un dominio sospetto.
Il watering hole email funziona meglio nei settori con siti di riferimento ben definiti e frequentati da tutti gli operatori:
Portali ARERA, siti di consorzi energetici, piattaforme di scambio dati tra operatori. Obiettivo: accesso ai sistemi SCADA e infrastrutture critiche.
Siti di associazioni bancarie, portali di compliance normativa, piattaforme di settore. Obiettivo: dati finanziari e accesso ai sistemi interbancari.
Portali di ordini professionali, siti di aggiornamento medico, piattaforme per la gestione dei pazienti. Obiettivo: dati sanitari e accesso alle reti ospedaliere.
Siti di enti governativi, portali di servizi digitali, piattaforme di e-procurement. Obiettivo: dati dei cittadini e accesso ai sistemi pubblici.
Il watering hole email e insidioso perche usa siti legittimi. Ma MailSniper ha strumenti specifici per intercettarlo:
Ogni link nelle email viene analizzato in tempo reale. MailSniper visita l'URL in una sandbox isolata, esegue il codice della pagina e rileva comportamenti malevoli — anche su siti normalmente legittimi che sono stati compromessi.
I link vengono riscritti per passare attraverso il gateway MailSniper. Quando l'utente clicca, l'URL viene verificato di nuovo al momento del click — non solo quando l'email arriva. Se il sito e' stato compromesso dopo la consegna, il click viene bloccato.
MailSniper rileva i pattern tipici delle campagne watering hole: email che imitano comunicazioni di settore, inviate a gruppi specifici di destinatari, con link a siti di nicchia. Il motore AI confronta con le comunicazioni legittime precedenti.
La rete globale di MailSniper monitora continuamente i siti piu' frequentati per settore. Quando un sito viene segnalato come compromesso, le email con link a quel sito vengono immediatamente bloccate per tutti i clienti.
L'attacco mirato via email piu' comune. Il watering hole email ne condivide la precisione, ma usa siti legittimi come arma.
La tecnica che riscrive i link nelle email per verificarli al momento del click. Fondamentale contro i siti compromessi.
Le vulnerabilita' sconosciute spesso usate nei siti compromessi per infettare i visitatori senza che lo sappiano.