Sono in circolazione email fraudolente che simulano avvisi di blocco della casella di posta.
L’obiettivo è rubare le credenziali di accesso alla tua email aziendale. NON cliccare sui link contenuti in questi messaggi.
Di cosa si tratta
Nelle ultime ore è stato rilevato un nuovo tentativo di phishing mirato agli utenti email del dominio docsnet.it. Il messaggio fraudolento si presenta con oggetto simile a “Failure Notice” oppure “Message Failure Receiving Notice” e appare provenire dalla stessa organizzazione, sfruttando il nome del dominio aziendale per sembrare più credibile.
Come appare il messaggio falso
Il testo del messaggio contiene elementi tipici di questa tecnica di inganno:
- Mittente apparente: un indirizzo simile a staff@docsnet.it o al dominio aziendale
- Oggetto: “Failure Notice”, “Message Failure Receiving Notice”, “Action Required”
- Testo: “Your mailbox has been limited to incoming messages” oppure “You have suspended incoming messages”
- Presenza di pulsanti “Allow Messages” e “Review Messages” che portano a siti di phishing
- Firma falsa: “docsnet.it Notification” per aumentare la credibilità
Il layout è volutamente essenziale, con formattazione ridotta, per simulare una notifica automatica di sistema. Cliccando sui pulsanti, l’utente viene reindirizzato a una pagina di login contraffatta che raccoglie username e password dell’account di posta.
Perché è pericoloso
La tecnica utilizzata si chiama “mailbox notification phishing” ed è particolarmente insidiosa perché:
- Crea un senso di urgenza: l’utente teme di perdere messaggi importanti
- Imita comunicazioni legittime dei provider di posta elettronica
- Usa il nome del proprio dominio aziendale per sembrare autentico
- Non contiene allegati, quindi spesso supera i filtri antivirus standard
- Il sito di phishing può essere identico alla vera pagina di login
Se le credenziali vengono sottratte, l’aggressore può accedere alla casella email, leggere o cancellare messaggi, inviare spam o truffe a nome dell’azienda e compromettere altri servizi collegati allo stesso account.
Cosa fare e cosa evitare
| ✔ COSA FARE | ✘ COSA NON FARE |
| Eliminare immediatamente il messaggio sospetto | NON cliccare su nessun link presente nel messaggio |
| Segnalarlo al reparto IT prima di qualsiasi altra azione | NON inserire username e password su pagine raggiunte da link in email |
| Verificare le proprie email accedendo direttamente al client di posta o alla webmail | NON rispondere al messaggio né scrivere al mittente |
| Controllare che l’URL della pagina di login sia quello corretto del provider | NON fidarsi dell’aspetto grafico: anche i falsi possono sembrare autentici |
| Attivare l’autenticazione a due fattori (2FA) se non già fatto | NON ignorare il sospetto: ogni segnalazione aiuta a proteggere tutta l’azienda |
Come riconoscere un messaggio autentico dal provider
I provider di posta legittimi e i sistemi aziendali NON inviano mai notifiche con pulsanti per sbloccare la casella tramite link email. Se la casella di posta ha un problema reale:
- Riceverai comunicazione direttamente dal reparto IT, non da un sistema automatico via email
- Ti verrà chiesto di contattarci telefonicamente o via ticket, NON di cliccare su un link
- L’URL della pagina di accesso inizia sempre con https:// e corrisponde al dominio ufficiale
| Esempio di testo phishing rilevato: Oggetto: Failure Notice | Mittente: docsnet.it [Staff] “Your mailbox has been limited to incoming messages.” “ATTENTION: sdesf@docsnet.it – You have suspended incoming messages” ⚑ Contiene link: [Allow Messages] [Review Messages] → TRAPPOLA DI PHISHING |
Cosa fare se hai già cliccato
Se hai già cliccato su un link o inserito le tue credenziali, agisci immediatamente:
- Cambia la password dell’account email il prima possibile
- Verifica se altri servizi usano la stessa password e cambiali tutti
- Controlla gli accessi recenti alla tua casella email per attività sospette
- Segnala l’incidente: la tua segnalazione protegge anche i colleghi