LEGALAUDIT
Cyber Coach

Phishing

Phishing email: brand impersonation e DMARC

Email che fingono di essere banca, Poste, INPS o un collega. Difenditi leggendo header, SPF, DKIM e DMARC.

8 min di letturaBase

Indicatori da riconoscere

  • Mittente con dominio simile ma non identico (es. poste-italiane-sicurezza.com)
  • SPF=fail, DKIM=none o DMARC=quarantine negli header tecnici
  • Link che mostra un testo amichevole ma punta a un dominio diverso
  • Richiesta di credenziali, OTP, dati carta o reset password con urgenza
  • Allegato HTML, ZIP o documento con macro non atteso
  • Lingua leggermente innaturale o terminologie miste (italiano + inglese)
  • Reply-To diverso dal From visibile
  • Riferimento a una pratica, fattura o spedizione che non riconosci

Cosa fare subito

  • Non cliccare: apri il sito ufficiale a mano o usa l'app già installata
  • Espandi l'header completo e controlla SPF/DKIM/DMARC con un analyzer
  • Inoltra il messaggio come allegato a phishing@<tuabanca> o segnala@polizia
  • Se sospetti compromissione: cambia password, attiva 2FA hardware, controlla regole di inoltro
  • Conserva l'eml originale: serve come prova forense (hash, timestamp, header)
  • Avvisa colleghi o familiari se il tema riguarda anche loro

Caso reale

Falsa email Agenzia delle Entrate, primavera 2025

Una PMI di Brescia riceve un'email apparentemente dall'Agenzia delle Entrate con oggetto 'Rimborso F24 trattenuto - azione richiesta entro 24h'. Il logo è perfetto, il tono è formale, il link punta a 'agenziaentrate-rimborsi.servizi-fiscali.cloud'.

L'amministrativa segue il link, inserisce le credenziali aziendali del cassetto fiscale e un OTP ricevuto via SMS. Entro 12 ore i criminali emettono 4 deleghe a un intermediario fittizio e accedono ai dati IVA. La CERT-AGID aveva già segnalato il dominio nelle 72 ore precedenti.

L'analisi forense ha rivelato che il dominio era registrato 5 giorni prima dell'attacco su un registrar offshore, lo header mostrava SPF fail e DKIM assente, e l'IP di invio era riconducibile a un'infrastruttura bulletproof già nota. Mythos ha ricostruito la chain of evidence per la denuncia penale.

Cosa può fare Mythos su questo caso

  • Analisi header SMTP con verifica SPF/DKIM/DMARC e Received chain
  • Reputazione del dominio mittente con storia di registrazione e WHOIS
  • Estrazione e fingerprint degli URL contenuti, redirect chain e screenshot della landing
  • Classificazione del brand impersonato e cross-check con segnalazioni CERT
  • Generazione del dossier PDF firmato per denuncia alla Polizia Postale

Passi successivi

Analizza l'email con MythosLezione: riconoscere il phishing in 60 secondi