Il clone phishing duplica e-mail legittime per diffondere malware e rubare dati. Scopri come funziona e come proteggerti.
Le campagne di phishing rappresentano oggi uno dei principali vettori di accesso iniziale negli attacchi informatici, con miliardi di messaggi malevoli inviati ogni giorno in tutto il mondo. Nel 2024, l’ENISA ha classificato il phishing tra le minacce informatiche più diffuse e rilevanti dell’anno. Per aumentare l’efficacia delle campagne, i cybercriminali ricorrono a tecniche sempre più sofisticate per ingannare le vittime.
Tra queste, una delle più insidiose è il clone phishing, una tecnica che consiste nel replicare una comunicazione autentica precedentemente ricevuta dall’utente, sostituendo gli allegati o i link originali con contenuti malevoli.
In questo articolo analizzeremo cos’è il clone phishing, come viene eseguito e quali sono le sue conseguenze per aziende e utenti privati. Chiuderemo con alcune linee guida pratiche per riconoscerlo e proteggersi da questo tipo di attacco.
Cos’è il clone phishing
Il clone phishing è una tecnica di attacco in cui un cybercriminale replica un’email legittima già ricevuta dalla vittima, copiandone fedelmente struttura, tono, design ed elementi grafici. Le uniche modifiche riguardano i collegamenti e gli allegati, che vengono sostituiti con versioni malevole. Cliccando su questi elementi, la vittima viene dirottata su siti fraudolenti o avvia involontariamente il download di un malware.
In genere, i messaggi da clonare vengono ottenuti tramite:
- Account e-mail compromessi via takeover, o data breach;
- Newsletter e comunicazioni aziendali pubblicamente accessibili;
Per distribuire i messaggi contraffatti, gli attaccanti impiegano tecniche studiate per aggirare i sistemi di protezione e sfruttare la disattenzione dell’utente. Le più comuni sono:
- Display-name spoofing: viene falsificato il nome visualizzato del mittente e non l’indirizzo e-mail. Questo inganna soprattutto gli utenti da smartphone, dove il nome è spesso l’unico dato mostrato.
- Close-cousing spoofing: il dominio dell’indirizzo email è quasi identico a quello legittimo, con piccole variazioni (es. @micr0soft.com al posto di @microsoft.com), difficili da notare a colpo d’occhio.
- Obfuscated URLs: gli attaccanti mascherano i collegamenti, ad esempio con URL shortener (bit.ly, ow.ly) o link apparentemente validi che reindirizzano a siti malevoli.
Nei casi più sofisticati, viene sfruttato anche il DNS hijacking, reindirizzando le richieste DNS verso host controllati dagli attaccanti. In questo modo, l’utente vede un dominio apparentemente autentico, ma in realtà accede a un sito sotto controllo criminale.
Come vengono diffuse le e-mail di clone phishing
Le e-mail di clone phishing vengono camuffate da comunicazioni ufficiali provenienti da enti governativi, banche, provider di servizi, o brand molto conosciuti. Il più delle volte sono inviate in massa a un ampio numero di destinatari, in modo da massimizzare il più possibile la portata dell’attacco.
Tuttavia, quando quando il contenuto dell’email clonata è stato esfiltrato da account compromessi, i cybercriminali possono realizzare messaggi altamente personalizzati. In questi casi, sfruttano tecniche di ingegneria sociale per costruire messaggi convincenti, come:
- Avvisi di sicurezza che invitano a modificare le credenziali a seguito di presunte attività sospette;
- Finti solleciti di aggiornamento dei dati di pagamento, con la minaccia di blocco del servizio o della carta.
In alcuni casi, gli attaccanti possono inviare e-mail in risposta a conversazioni già esistenti. L’e-mail malevola appare come una risposta a un messaggio legittimo, poiché mantiene oggetto, firma e tono correnti. Ciò fa abbassare drasticamente il livello di sospetto da parte della vittima, che tende a fidarsi del contesto preesistente.
In altri casi, gli attori malevoli puntano a figure specifiche all’interno di un’organizzazione, come amministratori IT o responsabili finanziari, replicando dinamiche tipiche degli attacchi di spear phishing.
Impatto del clone phishing
Gli attacchi di clone phishing possono generare conseguenze gravi sia per gli utenti individuali che per le organizzazioni. A livello personale, i rischi includono:
- Furto d’identità attraverso l’acquisizione di dati personali;
- Account takeover, con accesso non autorizzato a servizi online;
- Frodi finanziarie, basate sull’utilizzo di credenziali bancarie o dati di pagamento sottratti.
In molti casi, il link o l’allegato presente nella mail clonata avvia il download di malware, che può compromettere il sistema infetto e fungere da entry point per ulteriori minacce, inclusi spyware, ransomware e trojan bancari.
In ambito aziendale, il clone phishing può avere impatti ancora più seri. Questo perché:
- Favorisce il movimento laterale all’interno della rete aziendale;
- Può causare la compromissione della supply chain, colpendo anche fornitori e partner connessi;
- Espone l’organizzazione a danni reputazionali e perdita di fiducia da parte di clienti, utenti finali e stakeholder;
- Comporta impatti legali, come sanzioni amministrative o obblighi di notifica ai sensi del GDPR.
Vanno inoltre considerati i costi operativi per la gestione dell’incidente. Questi comprono investigazioni interne, analisi forense, ripristino dei sistemi e interventi di incident response.
Misure di prevenzione contro il clone phishing
Saper riconoscere le mail di clone phishing è fondamentale per evitare di cadere vittima di questo attacco. Tuttavia, è altrettanto importante adottare misure preventive per ridurre al minimo il rischio di attacco. A questo proposito, si consiglia di:
- Controllare regolarmente il proprio conto bancario.
In questo modo è possibile individuare tempestivamente movimenti sospetti. - Aggiornare regolarmente programmi e sistemi.
Gli aggiornamenti contengono spesso patch di sicurezza che vanno a correggere vulnerabilità note sfruttabili per lanciare attacchi informatici. - Applicare il principio del privilegio minimo in ambito aziendale.
In questo modo si riduce la superficie di attacco in caso di accesso non autorizzato. - Abilitare l’autenticazione multifattore (MFA).
Questa aggiunge un ulteriore protezione ai propri account online, richiedendo una verifica extra (un SMS o un codice OTP generato da un’app) oltre alla classica password. - Implementare filtri antiphishing nella propria casella di posta.
Questa funzionalità permette di rilevare e bloccare potenziali messaggi malevoli prima ancora che giungano a destinazione. - Adottare soluzioni antimalware affidabili e sofisticate.
Programmi antivirus come Sophos aiutano a individuare eventuali file malevoli presenti nel dispositivo e a bloccarne l’esecuzione.
- Autore articolo
- Gli ultimi articoli
Classe 1998, laureato in Informatica e Comunicazione Digitale, appassionato di informatica e scrittura. Scrivere per questo blog rappresenta per me un’occasione per divulgare la cultura della cybersecurity, oggi più che mai indispensabile. Scrivo di minacce informatiche, social engineering e digital awareness, impegnandomi attivamente a trasformare scenari complessi in contenuti accessibili per i nostri utenti.