Gli attacchi phishing e BEC (Business Email Compromise) sono tra le minacce più costose per le aziende: nel 2024 le perdite globali superano i 50 miliardi di dollari. Un singolo attacco BEC può costare centinaia di migliaia di euro in bonifici fraudolenti. Questi attacchi utilizzano email falsificate che impersonano dirigenti, fornitori o partner per ingannare dipendenti e rubare denaro o dati sensibili.

Il nostro studio offre un servizio specializzato di analisi forense phishing e BEC, combinando expertise tecnico, investigazione digitale e tutela legale. Analizziamo email sospette, verifichiamo autenticità mittenti, identifichiamo truffatori, certifichiamo prove per denunce, e forniamo formazione anti-phishing personalizzata per proteggere la tua organizzazione.

Questo servizio è essenziale per aziende che hanno ricevuto richieste sospette di bonifici, per vittime di truffe già consumate che necessitano prove per denunce, per organizzazioni che vogliono verificare comunicazioni prima di agire, o per chi necessita di protezione proattiva e formazione staff.

Tipologie di attacchi che analizziamo

Gli attacchi phishing e BEC assumono forme diverse, ciascuna con strategie specifiche:

1) CEO Fraud (Impersonificazione dirigente)

Come funziona:

• Email che APPARE dal CEO/CFO: "Sono in riunione urgente, effettua bonifico €150k a questo fornitore ORA"
• Indirizzo email quasi identico: ceo@tuaazienda.com vs ceo@tuaazienda.co (nota il .co)
• Tono urgente, richiesta segretezza: "Non parlarne con nessuno, deal confidenziale"
• Bypass procedure: "Non c'è tempo per approval normale, fidati"

Target tipico:

• Contabilità, amministrazione, finance
• Segretarie/assistenti dirigenti
• Manager autorizzati bonifici

Indicatori tecnici:

• Header mostra mittente REALE diverso da quello visualizzato
• SPF/DKIM fail (autenticazione dominio fallita)
• Server origine sospetto (Nigeria, Romania, paesi noti per scam)
• Mancanza thread email precedenti (primo messaggio da "CEO")

2) Invoice Fraud (Fatture false fornitori)

Come funziona:

• Email da fornitore abituale: "Abbiamo cambiato banca, nuove coordinate IBAN"
• Fattura autentica allegata (rubata precedentemente) con IBAN modificato
• Tempistica studiata: poco prima scadenza pagamento reale
• Tono normale, nessuna urgenza sospetta (più credibile)

Preparazione attacco:

• Truffatori hanno violato email fornitore (o tua) settimane prima
• Studiano corrispondenza, timing, importi tipici
• Inviano email al momento giusto con dettagli realistici

Indicatori:

• IBAN nuovo in paese sospetto (es: fornitore italiano, IBAN rumeno)
• Email proviene da server diverso dal solito fornitore
• Piccole differenze firma email o formato messaggio

3) Spear Phishing (Phishing mirato)

Come funziona:

• Email personalizzata con informazioni OSINT reali su di te
• "Ciao Marco, ho visto il tuo post LinkedIn su [progetto X]. Clicca qui per collaborazione"
• Link porta a pagina phishing identica a servizio legittimo (fake Office365 login)
• Obiettivo: rubare credenziali o installare malware

Indicatori:

• Link destinazione diversa da quella visualizzata (hover mouse rivela URL vero)
• Dominio typosquatting: microsotf.com, gooogle.com
• Certificato SSL sospetto o assente (non HTTPS)
• Pagina login chiede informazioni extra inusuali

4) Account Takeover BEC

Come funziona:

• Truffatori hackerano REALMENTE account email dipendente (phishing precedente)
• Inviano email dall'account AUTENTICO compromesso
• Massima credibilità: proviene davvero dal collega/fornitore
• Monitorano risposte, adattano strategia in tempo reale

Indicatori:

• Login da IP/località inusuali (visibile in audit log aziendale)
• Orari invio strani (es: dipendente italiano invia alle 3am)
• Stile comunicazione leggermente diverso dal solito
• Richieste inusuali da persona familiare

5) Lawyer Impersonation (Falsi avvocati)

Come funziona:

• Email da "studio legale": "Rappresentiamo cliente in causa contro di voi, settlement €80k urgente"
• Allegato "documento legale" (in realtà malware o richiesta bonifico)
• Pressure psicologica: minaccia azioni legali se non pagamento rapido

Varianti:

• Falsi notai per eredità/donazioni
• Falsi commercialisti per "tasse urgenti"
• Falsi funzionari governo per "multe/sanzioni"

6) Data Theft Phishing

Come funziona:

• Email HR fake: "Aggiorna dati personali dipendente, clicca qui"
• Form phishing raccoglie: SSN/CF, data nascita, indirizzo, dati bancari
• Obiettivo: furto identità dipendenti per frodi

7) W2 Scam (target HR/payroll USA, ma varianti ovunque)

Come funziona:

• Email da CEO a HR: "Inviami urgentemente W2 forms tutti dipendenti per revisione" (USA)
• Variante italiana: "CUD/certificazioni uniche dipendenti"
• HR invia file con dati sensibili migliaia dipendenti
• Truffatori usano dati per frodi fiscali massive

Il nostro processo di analisi forense

FASE 1: Acquisizione email (0-2 ore)

1A) Invio email da analizzare

• File .eml/.msg: formato originale completo (preserva header)
• Forward con header: inoltro includendo intestazioni complete
• Screenshot: se impossibile estrarre file, almeno visivo
• Contesto: cosa email chiedeva, se già agito, tempistiche

1B) Preservazione forense

• Hash MD5/SHA256: impronta digitale email originale
• Timestamp: marcatura temporale ricezione nostra
• Catena custodia: documentazione passaggi

FASE 2: Analisi tecnica header (2-6 ore)

2A) Decodifica header completo

• Received headers: percorso completo email attraverso server SMTP
• From vs Return-Path: mittente visualizzato vs mittente reale
• Message-ID: identificativo unico email
• X-Originating-IP: IP server origine (quando disponibile)
• Authentication-Results: risultati SPF/DKIM/DMARC

2B) Verifica autenticazione dominio

• SPF check: sender autorizzato a inviare per quel dominio?
• DKIM check: firma digitale dominio valida?
• DMARC check: policy dominio rispettata?
• Verdict: PASS (autentico) vs FAIL (spoofed/fraudolento)

2C) Tracciamento IP origine

• Geolocalizzazione IP: paese, città, ISP
• ASN lookup: chi possiede quella rete
• Blacklist check: IP noto per spam/phishing?
• Reverse DNS: hostname associato all'IP

FASE 3: Analisi contenuto (6-12 ore)

3A) Scansione link presenti

• URL extraction: tutti link nell'email (anche nascosti)
• Destinazione reale: dove porta veramente (spesso mascherato)
• Typosquatting check: micros0ft.com, paypa1.com
• VirusTotal scan: URL già segnalato come phishing?
• Screenshot pagina destinazione: cosa vede utente cliccando
• Certificato SSL: legittimo o fake/self-signed?

3B) Analisi allegati (sandbox)

• Esecuzione ambiente isolato: VM dedicata, no rischio infezione
• Scansione antivirus multipli: 60+ engine VirusTotal
• Analisi comportamentale: cosa fa allegato se eseguito
• Identificazione malware: trojan, ransomware, keylogger, spyware
• Indicatori compromissione: file creati, registry modificato, connessioni rete

3C) Analisi linguistica e psicologica

• Trigger urgenza: "IMMEDIATO", "URGENTE", "ENTRO OGGI"
• Authority manipulation: uso titoli, minacce conseguenze
• Emotional triggers: paura, avidità, curiosità
• Grammar/spelling: errori tipici traduzioni automatiche
• Inconsistenze: dettagli che non tornano con mittente dichiarato

FASE 4: Identificazione attaccanti (12-48 ore)

4A) OSINT su mittente

• Whois dominio: chi ha registrato dominio mittente
• Data registrazione: dominio creato ieri = red flag enorme
• Email mittente: esiste realmente? Presenza online?
• Profili social: persona reale o fake?

4B) Correlazione campagne note

• Database phishing: PhishTank, OpenPhish, APWG
• IOC matching: Indicators of Compromise condivisi community security
• Pattern recognition: stesso attaccante dietro multiple campagne?
• Threat actor attribution: gruppo cybercrime noto?

4C) Follow the money (se bonifico richiesto)

• IBAN analysis: banca destinataria, paese, titolare conto (se ottenibile)
• Conto "mulo": probabile money mule (intermediario ignaro)
• Chain tracing: dove vanno fondi dopo primo conto

FASE 5: Risk scoring e raccomandazioni (immediato)

Risk Score 0-100:

• 0-25 (BASSO): Spam generico, no minaccia reale, solo ignorare
• 26-50 (MEDIO): Phishing generico, verifica prima agire, formazione utenti
• 51-75 (ALTO): BEC mirato credibile, NO agire, escalation management, verifica vie alternative
• 76-100 (CRITICO): Attacco sofisticato in corso, bonifico già fatto = azione urgente recupero, denuncia immediata, incident response

Raccomandazioni immediate:

• Se NO azione presa: NON rispondere, NON cliccare, NON pagare, verifica mittente vie alternative (telefono)
• Se bonifico già fatto: Blocco urgente con banca (revoca SEPA entro 24-48h), denuncia Polizia Postale, richiesta freeze conto destinatario via AG
• Se credenziali inserite: Cambio password IMMEDIATO, 2FA attivazione, scansione malware dispositivo
• Protezione futura: Formazione staff, policy verifica, autenticazione multi-canale per bonifici

FASE 6: Certificazione forense e supporto legale

• Report forense firmato: analisi completa con firma digitale qualificata
• Evidenze certificate: header, screenshot, hash, timeline
• Predisposizione denuncia: Polizia Postale, FBI IC3 (se USA involved)
• Supporto recupero fondi: coordinamento banche, SWIFT recall, freeze account
• Assistenza assicurazione: documentazione per cyber insurance claim

Cosa ricevi dal nostro servizio

1) Report analisi forense completo

Documento tecnico-legale contenente:

• Executive Summary: verdetto (phishing/legit), risk score, raccomandazioni immediate
• Analisi header dettagliata: percorso email, IP origine, autenticazione SPF/DKIM/DMARC
• Identificazione mittente reale: chi ha VERAMENTE inviato vs chi appare
• Scansione link/allegati: destinazioni phishing, malware identificati
• Geolocalizzazione attacco: da dove originato (paese, città, ISP)
• Correlazione minacce: campagne simili, threat actor noti
• Timeline completa: quando inviata, ricevuta, eventualmente agito
• Evidenze forensi certificate: screenshot, hash, marcature temporali

2) Classificazione minaccia

• Tipo attacco: CEO fraud, invoice scam, spear phishing, ecc.
• Livello sofisticazione: generico vs altamente mirato
• Probabilità successo: quanto credibile per utente medio
• Danno potenziale: cosa sarebbe successo se vittima avesse agito

3) Action plan personalizzato

• Azioni immediate: se vittima ha già agito (bonifico, credenziali, ecc.)
• Protezione account: password reset, 2FA, monitoring accessi
• Alert stakeholder: chi informare internamente/esternamente
• Procedure rafforzamento: policy anti-phishing/BEC personalizzate

4) Supporto recupero fondi (se applicabile)

• Blocco bonifico SEPA: istruzioni per revoca entro 48h
• SWIFT recall: procedura recupero bonifici internazionali
• Coordinamento banche: comunicazioni con istituti coinvolti
• Freeze conto destinatario: richiesta sequestro via Autorità
• Tracciamento fondi: dove sono andati soldi (chain analysis)

5) Assistenza denuncia

• Fascicolo completo: prove certificate pronte per Polizia Postale
• Denuncia predisposta: testo ottimizzato con evidenze tecniche
• Accompagnamento: supporto durante deposito denuncia
• Segnalazione internazionale: FBI IC3, Europol, Interpol se applicabile

6) Training anti-phishing (opzionale)

• Sessioni formazione staff: come riconoscere phishing/BEC
• Simulazioni phishing: test dipendenti con campagne fake controllate
• Policy aziendali: procedure verifica, approval multi-step bonifici
• Incident response plan: cosa fare se attacco in corso

Casi reali phishing/BEC risolti

Caso 1: CEO Fraud - €180k salvati in extremis

Scenario: CFO riceve email da CEO: "Acquisizione urgente competitor, bonifico €180k a studio legale, massima riservatezza"
Dubbio CFO: Stile email leggermente diverso, CEO mai chiesto segretezza prima
Nostra analisi: Email FALSA, header mostra origine Nigeria, SPF fail, dominio typosquatting (azienda.co vs azienda.com)
Intervento: Analisi in 3 ore, report urgente CFO: NON bonifico, verifica CEO via telefono
Risultato: €180k salvati, CEO confermato email falsa mai inviata, denuncia Polizia Postale, rafforzamento policy bonifici (approval dual sempre)

Caso 2: Invoice Scam - €95k bonifico fraudolento recuperato

Scenario: Azienda paga fattura fornitore abituale, IBAN cambiato, €95k bonifico SEPA
Scoperta: 3 giorni dopo, fornitore reale chiede "perché non pagato?"
Nostra analisi: Email falsa impersonava fornitore, account email fornitore hackerato settimane prima, IBAN rumeno money mule
Intervento urgente:

• Blocco SEPA immediato (entro 48h = successo)
• Denuncia Polizia Postale con report forense
• Coordinamento con banca rumena via Europol
• Freeze conto destinatario

Risultato: €92k recuperati (3k già trasferiti altrove), truffatori identificati e arrestati Romania, fornitore rinforzato sicurezza email

Caso 3: Spear Phishing - Credenziali Office365 compromesse

Scenario: Manager riceve email "Microsoft: account scade oggi, clicca per rinnovare"
Azione vittima: Clicca, inserisce user/password su pagina fake Office365
Scoperta: 2 ore dopo, email strane inviate dal suo account
Nostra analisi: Pagina phishing perfetta (dominio micros0ft-login.com), credenziali rubate, account usato per BEC verso clienti
Intervento:

• Reset password immediato
• Revoca sessioni attive tutte
• 2FA attivazione hardware key
• Alert tutti clienti: email recenti NON autentiche
• Scansione email inviate da account compromesso

Risultato: Account recuperato, nessun cliente truffato (alert tempestivo), identificazione campagna phishing massiva (2000+ vittime), segnalazione Microsoft per takedown dominio fake

Caso 4: W2 Scam - Dati 300 dipendenti salvati

Scenario: HR riceve email CEO: "Inviami file CUD tutti dipendenti per verifica urgente commercialista"
Dubbio HR: CEO mai chiesto prima, richiesta inusuale
Nostra analisi: Email CEO FALSA, spoofing perfetto ma header rivela origine Ghana, no autenticazione SPF
Intervento: Analisi 2 ore, report: TRUFFA, NO inviare file, verifica CEO persona
Risultato: Dati 300 dipendenti NON compromessi, CEO confermato mai chiesto, policy HR aggiornata (verifica sempre richieste sensibili via secondo canale)

Caso 5: Lawyer Impersonation + Malware

Scenario: Azienda riceve email "Studio Legale Rossi": "Rappresentiamo cliente causa vs voi, allegato citazione"
Allegato: PDF apparente, realmente .exe mascherato
Nostra analisi:

• Studio Legale Rossi NON esiste (whois fake)
• Allegato = ransomware LockBit 3.0
• Email parte campagna massiva vs PMI italiane

Intervento: Report urgente: NON aprire allegato, eliminazione sicura, alert tutti dipendenti, segnalazione campagna a CERT-AgID
Risultato: Ransomware evitato, nessun danno, campagna bloccata dopo segnalazioni multiple

Domande frequenti (FAQ)

Quanto tempo richiede l'analisi?
Analisi standard: 6-12 ore. Urgenze (bonifico imminente, credenziali già inserite): 2-4 ore express.

Posso inviare email per analisi PRIMA di agire?
Assolutamente sì, anzi è IDEALE. Analisi preventiva costa molto meno di recovery post-truffa. Se hai dubbi, inviaci email PRIMA di fare bonifico/cliccare/rispondere.

Se ho già fatto bonifico fraudolento, posso recuperare?
Dipende da tempistiche. SEPA EU: entro 48h alta probabilità blocco. Dopo 48h più difficile ma possibile via freeze conto destinatario. SWIFT internazionali: 24-72h finestra. CRITICO: contattaci IMMEDIATAMENTE appena scoperta truffa.

Analizzate anche email in lingue straniere?
Sì, analizziamo email in qualsiasi lingua. Aspetti tecnici (header, IP, autenticazione) sono language-agnostic.

Posso richiedere analisi per formazione staff?
Sì, offriamo pacchetti analisi + formazione: analizziamo email reali ricevute dalla tua azienda + training su come riconoscerle.

L'analisi può essere usata in causa contro dipendente negligente?
Sì, report forense certificato è utilizzabile anche per dispute interne (es: dipendente ignorato policy, causato danno aziendale).

Fate anche simulazioni phishing per testare dipendenti?
Sì, offriamo servizio separato: campagne phishing simulate controllate per testare awareness staff e identificare soggetti più vulnerabili per training mirato.

Se truffatori sono all'estero, serve denunciare?
SÌ, sempre. Anche se recovery difficile, denuncia serve per: 1) Assicurazione cyber, 2) Cooperazione internazionale (Europol coordina), 3) Statistiche per combattere fenomeno, 4) Eventuale azione civile se identificati.

Prevenzione phishing/BEC - Best practices

Policy aziendali essenziali:

1) Verifica multi-canale per bonifici

• Regola d'oro: OGNI bonifico >€5k richiede verifica telefonica (numero noto, NON da email)
• Approval dual: due persone devono approvare bonifici significativi
• Callback verification: richiamare mittente su numero registrato (non da firma email)

2) Autenticazione email robusta

• SPF/DKIM/DMARC: configurazione corretta dominio aziendale
• DMARC policy "reject": email spoofate vengono bloccate automaticamente
• Email banner esterni: "[EXTERNAL] Questo messaggio proviene dall'esterno" su tutte email non-aziendali

3) Formazione continua staff

• Training trimestrale: aggiornamento su nuove tecniche phishing
• Simulazioni periodiche: test realistici per mantenere allerta
• Reporting incentivato: premiare chi segnala email sospette (no punizioni per errori)

4) Technical controls

• Email gateway: filtri anti-phishing avanzati (Proofpoint, Mimecast, Barracuda)
• Link rewriting: riscrittura link per scansione pre-click
• Sandbox allegati: esecuzione automatica allegati in ambiente isolato
• Domain monitoring: alert su registrazioni domini simili al tuo (typosquatting)

Contattaci per analisi phishing/BEC

Se hai ricevuto email sospette richiedenti bonifici, credenziali o dati sensibili, se sospetti attacco phishing o BEC in corso, o se sei già vittima di truffa email, contattaci immediatamente per analisi forense professionale.

📩 Contattaci qui per analisi urgente

Per emergenze (bonifico già fatto/in corso):
📞 [ 3771151946 ] - Supporto 24/7 per blocco bonifici fraudolenti

Riceverai:

• Valutazione preliminare immediata (phishing probabile?)
• Preventivo analisi forense completa
• Indicazioni urgenti cosa fare/non fare
• Stima tempi recupero fondi se già bonifico effettuato

👉 Inviaci l'email sospetta
Ti diremo entro poche ore se è phishing/BEC e come proteggerti.

🚨 SE HAI GIÀ FATTO BONIFICO FRAUDOLENTO:

1) Chiama IMMEDIATAMENTE la tua banca: chiedi blocco/revoca bonifico
2) Contattaci per supporto urgente: coordiniamo con banca e Polizia Postale
3) NON avvisare truffatori (no risposta email): potrebbero spostare fondi più rapidamente
4) Raccogli TUTTO: email, conferme bonifico, screenshot

OGNI ORA CONTA. Entro 48h SEPA: alta probabilità recupero. Dopo 7 giorni: molto difficile.

💡 Prevenzione: Analisi preventiva email sospetta costa €150-300. Recovery bonifico fraudolento €100k+ costa tempo, stress, e spesso recuperi solo parziale. Investi in prevenzione.

🎓 Per aziende: Offriamo pacchetti annuali: analisi illimitate email sospette + training staff trimestrale + simulazioni phishing + incident response. Investimento <10% costo medio singolo attacco BEC.