Il caso dei filtri invisibili: Quando un semplice errore di digitazione rivela un attacco nascosto

Inoltro nascosto di email e cancellazione automatica delle notifiche: un caso reale di data breach silenzioso.

Cosa è successo

Un’azienda nostra cliente ci ha richiesto supporto per una normale attività tecnica: la migrazione dei loro client di posta dal protocollo POP3 a IMAP.
La configurazione è stata completata correttamente, testata e chiusa con successo.

Circa 24 ore dopo, un dipendente segnala un problema di mancato recapito email verso uno specifico indirizzo. Nessuna notifica di errore dal server di posta (“daemon”) era arrivata, nonostante il messaggio non fosse mai stato ricevuto dal destinatario.

Come abbiamo individuato l’attività malevola

Contestualmente alla segnalazione, i nostri tecnici verificano i log e individuano subito un errore banale: un typo nel dominio del destinatario.

Ma una domanda nasce immediata:

Perché il server non ha generato alcuna notifica di mancato recapito?

Con l’autorizzazione del cliente, attiviamo un monitoraggio approfondito sui servizi di posta.

La risposta arriva poco dopo:

• su due caselle email erano presenti filtri server-side (Sieve) non impostati dall’azienda;
• tali filtri prevedevano:
  • Inoltro incondizionato di tutte le email verso l’indirizzo esterno unitdata01@gmail.com
  • Cancellazione automatica di tutte le email provenienti dal mittente “daemon”, ossia le notifiche del server di posta.

In altre parole: 

✔️ le comunicazioni in entrata e in uscita venivano copiate all’esterno,
✔️ mentre gli utenti venivano tenuti all’oscuro di qualsiasi anomalia.

Attacco Stealth: Cosa volevano fare

Questo tipo di configurazione è tipico degli attacchi stealth, progettati per:

• esfiltrare comunicazioni riservate senza destare sospetti
• monitorare flussi email interni
• preparare frodi (es. BEC – Business Email Compromise)
• sottrarre informazioni strategiche o personali

Di fatto, la compromissione risultava già operativa e silenziosa da tempo imprecisato.

Azione di risposta, cosa abbiamo fatto

Le azioni intraprese per gestire al meglio l'attività malevola sono state:

• rimosso tutti i filtri malevoli Sieve presenti sugli account interessati
• ripristinato la configurazione corretta
• attivato un monitoraggio gestito per rilevare future anomalie
• supportato l’azienda nella segnalazione dell’incidente come data breach

5 lezioni da portare a casa

1. Anche un problema banale (un indirizzo scritto male) può nascondere un attacco serio
2. Le notifiche del server di posta sono un elemento di sicurezza fondamentale
3. I filtri lato server devono essere periodicamente controllati
4. Il protocollo IMAP rende evidente ciò che POP3 può nascondere a livello locale
5. Il monitoraggio continuo è spesso l’unico modo per scoprire compromissioni silenziose

Come proteggersi in futuro

• Utilizzare autenticazione forte (MFA) per l’accesso alle webmail
• Controllare periodicamente le regole di inoltro e i filtri server-side
• Tenere traccia degli accessi sospetti alla webmail
• Utilizzare servizi di posta gestiti con monitoraggio costante
• Formare i dipendenti: quando qualcosa “non torna”, va segnalato subito 

Email fraudolente raccolte

Per diffusione collettiva: di seguito le email fraudolente raccolte durante l'applicazione globale della policy qui descritta dopo l'applicazione sulla nostra infrastruttura:

Email destinatarie dello sniffing:

unitdata01@gmail.com
benson.it0000@gmail.com

Purple Tech pubblica casi reali e consigli pratici per aiutare aziende e professionisti a riconoscere, prevenire e fermare gli attacchi moderni.

Questa tipologia di attività malevola è stata inserita nelle nostre policy di sicurezza attive su tutta la nostra infrastruttura e se sei già nostro cliente abbiamo già verificato i tuoi servizi.