Le Nostre News

Allerta ACN: Thread Hijacking: rilevate attività malevole tramite caselle compromesse

Il CSIRT dell’Agenzia per la Cybersicurezza Nazionale (ACN) ha segnalato una campagna malevola in corso contro organizzazioni italiane, basata sulla compromissione di caselle di posta elettronica aziendali. L’attacco, riconducibile a frodi di tipo Business Email Compromise (BEC), sfrutta tecniche come phishing ed Email Thread Hijacking per indurre le vittime a effettuare pagamenti fraudolenti verso conti esteri, con rilevanti impatti economici e reputazionali.

Coltiviamo conoscenza, ispirazione ed innovazione


Secondo quanto rilevato dal CSIRT dell’Agenzia per la Cybersicurezza Nazionale (ACN), è in corso una campagna malevola mirata contro organizzazioni operanti sul territorio nazionale.
L’attacco prevede la compromissione di caselle di posta elettronica aziendali con l’obiettivo di realizzare frodi finanziarie di tipo Business Email Compromise (BEC).

Descrizione della minaccia e potenziali impatti

Le analisi condotte dal CSIRT ACN indicano che gli attori della minaccia ottengono l’accesso agli account di posta elettronica aziendali tramite credenziali precedentemente sottratte, utilizzando tecniche quali:

  • password spraying
  • attacchi a dizionario
  • campagne di phishing mirate

Una volta compromesse le caselle di posta, gli attaccanti non intervengono immediatamente, ma monitorano le comunicazioni per identificare trattative commerciali in corso.
In questa fase viene sfruttata la tecnica di Email Thread Hijacking, che consente agli attori malevoli di inserirsi in conversazioni legittime tra l’organizzazione e clienti o partner.

Obiettivo dell’attacco

L’obiettivo finale, come evidenziato da ACN, è la realizzazione di una frode finanziaria strutturata, attraverso l’invio di istruzioni di pagamento fraudolente.
Tali comunicazioni inducono le vittime a dirottare trasferimenti di denaro verso conti correnti esteri (IBAN) riconducibili agli attaccanti, causando perdite economiche rilevanti e potenziali danni reputazionali.


Misure di mitigazione raccomandate da ACN

ACN raccomanda a utenti e organizzazioni di adottare un approccio proattivo per ridurre il rischio di compromissione, implementando le seguenti misure di sicurezza:

Consapevolezza e formazione

  • organizzare sessioni di formazione periodiche per il personale, finalizzate al riconoscimento di e-mail di phishing e comunicazioni inattese o anomale;

Buone pratiche di navigazione

  • evitare l’accesso a link o contenuti esterni se non si è certi dell’affidabilità della fonte;
  • verificare attentamente la legittimità dei siti web che richiedono l’inserimento delle credenziali di accesso;

Protezione degli account

  • procedere alla rotazione immediata delle credenziali per tutte le utenze compromesse o sospette, adottando criteri di complessità conformi alle policy di sicurezza;
  • implementare e rendere obbligatoria l’autenticazione a più fattori (MFA) per tutti gli account di posta elettronica;

Controllo delle configurazioni di posta

  • effettuare una verifica puntuale delle regole di inoltro automatico o archiviazione, rimuovendo quelle non espressamente autorizzate dagli utenti;

Verifica dei pagamenti

  • adottare procedure di verifica “fuori banda” (ad esempio contatto telefonico diretto su numerazioni già note) per qualsiasi richiesta di modifica delle coordinate bancarie (IBAN), anche se la comunicazione appare provenire da interlocutori fidati.


Fonte 📌 https://www.acn.gov.it/portale/w/thread-hijacking-rilevate-attivita-malevole-tramite-caselle-compromesse