La neutralizzazione degli attacchi informatici del mese: la valanga di messaggi nella casella email email, ovvero come l’invio in massa di messaggi di abbonamento nasconde il vero attacco

La serie “La neutralizzazione degli attacchi informatici del mese” prende in esame le tattiche in costante evoluzione dei criminali informatici di oggi e come Proofpoint aiuta le aziende a rafforzare le loro difese dell’email per proteggere i collaboratori contro le minacce emergenti attuali.   

Immagina di controllare la tua casella email un giorno e trovare 1.500 nuove email. Non si tratta dei tipici messaggi di spam o di link di phishing dannosi. Si tratta di legittime conferme di iscrizione a newsletter inviate da aziende reali, come una panetteria in Francia, un blog tecnologico con sede in Giappone e un negozio di mobili negli Stati Uniti. 

Non sei diventato famoso dall'oggi al domani: sei vittima di un attacco di invio in massa di messaggi di abbonamento. E mentre elimini freneticamente migliaia di email indesiderate per ripulire la tua casella email, ti sfugge una notifica importante nascosta tra tutte le altre: un avviso di "password modificata" o una notifica di "bonifico bancario avviato" dalla tua banca. 

Non si tratta solo di spam fastidioso, ma di una forma aggiornata e sofisticata di un attacco DoS (Denial of Service) che sta rapidamente guadagnando popolarità come vettore d’attacco.  

In cosa consiste questo attacco?  

Gli attacchi di invio in massa di email di abbonamento consistono in raffiche brevi e intense di migliaia di email. Un tale attacco invia oltre 1.500 email all’ora, con l’obiettivo di sopraffare la vittima e rendere la casella email completamente inutilizzabile in pochi minuti. Sebbene si presenti come un semplice ostacolo alla produttività, il suo vero obiettivo è quello di distogliere l’attenzione della vittima da altri tipi di attività dannose.  

Per esempio, un tentativo di takeover degli account, come la reimpostazione di una password e il blocco dell’account di un utente. Questo tipo di attacco può anche cercare di indirizzarti verso un altro canale di comunicazione, come Teams o Slack.  

Lo scenario: una valanga di messaggi 

Ecco due esempi reali di questo attacco. 

Allerta per il settore sanitario (HC3) 

L’HC3 (Health Sector Cybersecurity Coordination Center) ha emesso un avviso specifico per il settore, avvertendo i fornitori di servizi sanitari e le organizzazioni di salute pubblica dell’utilizzo dell’invio in massa di email in attacchi che li prendono di mira. L'allerta spiega come questi attacchi possano degradare le prestazioni della rete e potenzialmente portare a un'interruzione delle attività aziendali, esortando gli enti interessati a implementare sistemi di verifica robusti. 

Una cortina fumogena per gli attacchi di social engineering di Black Basta 

Una ricerca di Hornetsecurity ha rivelato che il famigerato gruppo ransomware Black Basta sfrutta attivamente l’invio in massa di messaggi di abbonamento. Nelle loro campagne, inondano le caselle email per creare panico e confusione. Mentre l'utente è distratto, i criminali informatici lo contattano tramite Microsoft Teams fingendosi il supporto IT per aiutarlo a "risolvere il problema dello spam". Successivamente, inducono l'utente a scaricare strumenti di accesso remoto come AnyDesk o Quick Assist per compromettere la rete. 

La minaccia: una cortina fumogena per la frode 

L’invio in massa di messaggi di abbonamento raramente è l’obiettivo finale di un attacco. È una tecnica di distrazione. I criminali informatici la utilizzano per paralizzare la tua capacità di comunicare e per nascondere le prove di una violazione di account. 

A differenza degli attacchi tradizionali che si basano su payload dannosi (come URL dannosi o malware), questi attacchi sfruttano strumenti di automazione marketing legittimi. I criminali informatici utilizzano robot automatizzati per analizzare il web alla ricerca di moduli di iscrizione alle newsletter non protetti (quelli privi di CAPTCHA). Quindi inseriscono l'indirizzo email della vittima in migliaia di questi moduli contemporaneamente. 

Poiché le email provengono da domini legittimi, come Mailchimp, HubSpot e aziende reali, dispongono di un'autenticazione valida (SPF/DKIM). Di conseguenza, eludono i tradizionali filtri antispam che si basano sul punteggio della reputazione. Per i gateway di sicurezza email di vecchia generazione, l’operazione sembra quella di un utente che si è iscritto a molte newsletter. 

Come Proofpoint Nexus blocca l’invio in massa di messaggi di abbonamento 

Mentre i filtri standard non sono efficaci perché le email sono tecnicamente sicure, il nostro stack di rilevamento basato sull’IA, Proofpoint Nexus®, rileva tali attacchi analizzando l'intento e la frequenza delle email in arrivo. 

La tecnologia Nexus utilizza un insieme di motori di IA che collaborano per identificare e bloccare questi attacchi in tempo reale, garantendo che le email legittime continuino a circolare mentre la "bomba" viene neutralizzata. 

Ecco come i diversi motori Nexus collaborano per identificare e bloccare un attacco di invio in massa di email. 

• Nexus LM™ (modello linguistico). Questo motore analizza i modelli linguistici nei messaggi. Cerca in particolare elevate concentrazioni di espressioni come "benvenuto" o "grazie dell’iscrizione" e indicatori di identificazione, che sono comuni nelle conferme automatiche. 
• Nexus RG™ (Relationship Graph). Comprendendo il comportamento abituale dei tuoi utenti, il motore Nexus RG determina le anomalie nel volume e nella frequenza dei messaggi. Riconosce immediatamente che un improvviso afflusso di 500 email in pochi secondi da mittenti sconosciuti è una deviazione dalla normale attività dell'utente. 
• Nexus ML™ (Machine Learning). Quando questi segnali convergono, il motore Nexus ML attiva la modalità di protezione contro gli invii in massa. Questa azione classifica automaticamente la valanga di email come messaggi inviati in massa a bassa priorità e li reindirizza fuori dalla casella email dell'utente. L’attacco viene così neutralizzato. Le caselle email degli utenti rimangono libere in modo da recuperare gli avvisi critici che il criminale informatico sta cercando di nascondere. Il tutto senza compromettere la produttività degli utenti. 

Tendenze emergenti: il fenomeno degli invii in massa si sta diffondendo 

L’invio in massa di messaggi di abbonamento fa parte di una tendenza più ampia di attacchi di distrazione ad alto volume, un fenomeno in aumento. Osserviamo che i criminali informatici evolvono queste tattiche verso altri canali: 

• Invio in massa di messaggi attivati da formulari. Simili all’invio in massa di messaggi di abbonamento, questi attacchi prendono di mira i formulari transazionali (come le pagine "Contattaci" o "Richiedi un preventivo"). Le vittime ricevono migliaia di risposte automatiche del tipo "Grazie per averci contattato". Gli attacchi sono spesso più difficili da bloccare perché si tratta di email transazionali che non richiedono un passaggio in cui è necessario fare clic per confermare. 
• Invio in massa di SMS. Questo attacco è volto a far calare l’attenzione rispetto ai messaggi di autenticazione a più fattori (MFA). Per farlo, i criminali informatici inondano il dispositivo mobile dell’utente di SMS o codici di doppia autenticazione. Questo metodo viene spesso utilizzato per infastidire le vittime e indurle ad accettare una richiesta di accesso fraudolenta solo per far cessare le notifiche o per mascherare un attacco di scambio di carta SIM. 

Difendersi dal rumore creato dagli attacchi 

In un'epoca in cui gli hacker sfruttano il traffico legittimo per nascondere i propri crimini, le aziende hanno bisogno di una difesa che tenga conto del comportamento, oltre alla reputazione. 

Proofpoint Nexus garantisce che, indipendentemente dall’intensità del rumore generato da un criminale informatico, il segnale rimanga chiara a favore della tua sicurezza. Attivando difese come la modalità di protezione contro gli invii in massa, trasformiamo un attacco DoS potenzialmente paralizzante in un evento senza conseguenze, proteggendo i tuoi collaboratori e preservando le tue operazioni. 

Per saperne di più su come possiamo aiutare la tua azienda a proteggere i suoi collaboratori e i suoi dati contro la prossima generazione di minacce ottimizzate dall’IA, programma una demo oggi stesso.  

Contattaci per scoprire come Prime Threat Protection può aiutarti a contrastare l’invio in massa di messaggi di abbonamento e altri rischi di sicurezza informatica emergenti.  

Leggi la nostra serie “La neutralizzazione degli attacchi informatici del mese”     

Per saperne di più su come Proofpoint blocca gli attacchi avanzati, leggi gli altri articoli di questa serie:  

• Come i criminali informatici strumentalizzano gli assistenti IA tramite l’iniezione di prompt indiretti (ottobre 2025) 
• Attacchi BEC che prendono di mira gli enti pubblici (agosto 2025) 
• Rilevamento e risposta a un takeover degli account (luglio 2025)   
• Attacchi adversary-in-the-middle che prendono di mira Microsoft 365 (giugno 2025)   
• Bloccare gli attacchi di phishing che iniziano via email e proseguono tramite SMS (maggio 2025)     
• Come i criminali informatici ingannano le vittime con criptovalute gratuite per rubargli credenziali d’accesso e denaro (aprile 2025)   
• Phishing delle credenziali d’accesso che prende di mira la sicurezza dei servizi finanziari (febbraio 2025)   
• Un fornitore di energia elettrica sull’orlo del fallimento a causa di un attacco di phishing tramite firma elettronica (gennaio 2025)   
• Come Proofpoint ha bloccato un attacco di phishing Dropbox (dicembre 2024)   
• Prevenzione della violazione dell’email dei fornitori nel settore pubblico (novembre 2024)  
• Quando il malware SocGholish attacca il settore della sanità (ottobre 2024)   
• Prevenzione delle truffe di furto d’identità dei fornitori (settembre 2024)    
• Attacco di phishing delle credenziali che prende di mira i dati sulla posizione dell’utente (agosto 2024)     
• Contrastare gli attacchi del malware DarkGate in vacanza (luglio 2024)     
• Attacchi di furto d’identità del CEO (giugno 2024)    
• Bloccare gli attacchi di furto d’identità della supply chain (maggio 2024)    
• Sventare gli attacchi di creazione di applicazioni dannose (aprile 2024)     
• Rilevare gli attacchi tramite codici QR multilivello (marzo 2024)    
• Prevenire le violazioni della supply chain (febbraio 2024)    
• Manipolazione dell’autenticazione a più fattori (gennaio 2024)       
• Utilizzare l’IA comportamentale per contrastare il dirottamento degli stipendi (dicembre 2023)      
• Svolgimento degli attacchi tramite telefonate (novembre 2023)        
• Truffe e phishing tramite codice QR (ottobre 2023)      
• Prevenire il phishing tramite firma elettronica (settembre 2023)     
• Rilevare e analizzare un attacco SocGholish (agosto 2023)     
• Proteggersi contro il toolkit di phishing EvilProxy e il takeover degli account cloud (luglio 2023)    
• Rilevare gli attacchi BEC e della supply chain (giugno 2023)