Campagna di phishing — “Email account Outdated”
| AVVISO DI SICUREZZA È stata rilevata una campagna di phishing attiva che tenta di sottrarre le credenziali di accesso degli utenti attraverso un falso avviso di scadenza account. Non cliccare sul link contenuto nel messaggio e non inserire mai le proprie credenziali. |
Cos’è questa email e perché è pericolosa
Nelle ultime ore è stata segnalata la circolazione di un messaggio di posta elettronica apparentemente proveniente da un indirizzo interno (no-reply@docsnet.it), con oggetto:
“Email account Outdated [staff@docsnet.it]”
Il testo del messaggio avvisa l’utente che le sessioni email sarebbero scadute e invita a cliccare un link per “confermare l’account” e aggiornare il servizio. Si tratta di una tecnica di phishing classica, progettata per indurre l’utente a consegnare volontariamente le proprie credenziali di accesso a un sito controllato dai truffatori.
Analisi del messaggio: i segnali d’allarme
Esaminando il messaggio con attenzione emergono numerosi indicatori di frode:
| Elemento | Dettaglio |
| Mittente dichiarato | Docsnet / no-reply@docsnet.it |
| Oggetto | Email account Outdated [staff@docsnet.it] |
| Link contenuto | https://www.mail.security-case/file.01099382exe… |
| Dominio del link | mail.security-case (nessuna correlazione con docsnet.it) |
| Richiesta | Cliccare il link per “aggiornare” l’account |
| Lingua | Inglese su casella italiana — segnale anomalo |
| Tono | Urgenza artificiale (“sessioni scadute”, account a rischio) |
Il link è la parte più pericolosa
L’elemento più critico del messaggio è il link presente nel corpo dell’email:
Questo indirizzo non ha alcuna relazione con docsnet.it. Il dominio utilizzato (security-case) è costruito appositamente per sembrare legittimo e per ingannare una lettura superficiale. Notare inoltre:
- La parola “exe” nel percorso dell’URL, che suggerisce il possibile scaricamento di un file eseguibile (malware)
- Il dominio security-case non corrisponde ad alcun servizio ufficiale noto
- La struttura dell’URL è volutamente lunga e confusa per scoraggiare l’analisi
- Cliccare il link potrebbe portare a una pagina di login falsa oppure scaricare direttamente un file malevolo
Come funziona l’attacco
Questo tipo di attacco rientra nella categoria del phishing per raccolta credenziali. Il meccanismo è il seguente:
- L’utente riceve l’email e, preoccupato per la “scadenza” del proprio account, clicca il link.
- Viene reindirizzato su una pagina web controllata dai criminali, graficamente simile al pannello di login dell’azienda o del provider email.
- L’utente inserisce le credenziali (username e password) convinto di stare effettuando un accesso legittimo.
- I dati vengono inviati direttamente ai truffatori, che acquisiscono il pieno controllo dell’account.
- Con l’accesso all’email aziendale, i criminali possono leggere comunicazioni riservate, inviare messaggi a nome della vittima, accedere ad altri servizi collegati e propagare ulteriori attacchi.
Cosa fare se si riceve questo messaggio
| ✔ DA FARE Non aprire il linkSegnalare il messaggio all’amministratore ITSpostare l’email nel cestino o nella cartella spamSe hai già cliccato: cambia subito la password e avvisa il reparto ITAttivare (o verificare che sia attiva) l’autenticazione a due fattori | ✘ DA NON FARE Non cliccare il link sotto nessuna circostanzaNon inserire username e password nella pagina raggiunta tramite link emailNon scaricare allegati presenti nel messaggioNon rispondere all’emailNon inoltrare il messaggio ad altri colleghi (se non per segnalazione ufficiale) |
La regola d’oro per riconoscere il phishing
Nessun provider di posta elettronica, nessun servizio IT aziendale e nessuna piattaforma legittima chiederà mai di confermare o aggiornare le credenziali tramite un link ricevuto via email. Questo vale sempre, senza eccezioni.
Quando si riceve un messaggio che genera urgenza o preoccupazione riguardo al proprio account, prima di fare qualsiasi cosa è consigliabile:
- Controllare l’indirizzo del mittente nella sua interezza (non solo il nome visualizzato)
- Passare il cursore sul link senza cliccare per vedere l’URL reale di destinazione
- Verificare se il dominio del link corrisponde a quello del servizio dichiarato
- In caso di dubbio, contattare direttamente l’IT o accedere al servizio digitando manualmente l’indirizzo nel browser