Come funziona lo spoofing delle e-mail come servizio (Email Spoofing-as-a-Service) e come contrastarlo

Scopri cos’è lo spoofing delle e-mail “as-a-service”, quali sono i rischi che comporta e come proteggerti. Riduci le minacce grazie a un’autenticazione adeguata, resa possibile da PowerDMARC.

L'e-mail conta oltre 4 miliardi di utenti in tutto il mondo ed è uno strumento essenziale per le aziende. Questa popolarità comporta però alcune sfide. L'aumento dei servizi di spoofing delle e-mail mette in luce una crescente preoccupazione riguardo alla sicurezza e all'integrità delle comunicazioni via e-mail.

Lo spoofing delle e-mail è una pratica in uso ormai da decenni. Gli autori degli attacchi inviano un’e-mail con un indirizzo falsificato, facendo sembrare che provenga da una persona di cui ti fidi. Questa usurpazione d’identità costituisce la base per tentativi di phishing, fughe di dati o diffusione di malware. 

Lo “spoofing-as-a-service” porta il fenomeno a un livello superiore. Chiunque può inviare e-mail contraffatte, indipendentemente dalle proprie competenze tecniche, con facilità e in modo anonimo.

Le conseguenze si riflettono nei dati. Secondo statistiche di PowerDMARC relative al phishing via e-mail e al DMARC, circa il 50% delle organizzazioni nella maggior parte dei settori non dispone ancora dei controlli di autenticazione necessari per prevenire lo spoofing dei domini. Ciò rende le piattaforme di spoofing-as-a-service una minaccia immediata per le aziende non protette.

Come funziona lo spoofing delle e-mail come servizio

La maggior parte dei fornitori di servizi di spoofing delle e-mail opera tramite un’interfaccia web o un’API. Per inviare un’e-mail contraffatta, gli autori degli attacchi inseriscono il dominio che intendono impersonare, l’indirizzo e-mail del destinatario e il testo del messaggio. La piattaforma contraffà quindi il campo “Da” dell’intestazione, genera l’e-mail e la inoltra attraverso la propria infrastruttura per conto dell’utente del servizio, a fronte di una tariffa simbolica.

L'obiettivo è quello di far sembrare l'e-mail legittima, cosa che avviene quando non viene verificata. Il destinatario finisce per vedere nella propria casella di posta l'e-mail del mittente falsificato, credendo che sia stata inviata da un cliente, un fornitore o un contatto affidabile.

Perché è pericoloso?

Il concetto alla base di un servizio di spoofing delle e-mail è semplice e alla portata di molti. Basta pagare una piccola quota per accedere a uno strumento che consente di inviare e-mail falsificate. Il fornitore del servizio si occupa degli aspetti tecnici, mentre l’utente deve semplicemente inserire l’indirizzo e-mail del destinatario.

È quasi come inviare un’e-mail da Gmail o Outlook, ma invece di utilizzare il proprio account personale e il proprio indirizzo IP, si usa quello di qualcun altro. I messaggi compaiono quindi nella tua casella di posta come se provenissero da un contatto fidato.

I rischi dello spoofing delle e-mail come servizio (Spoofing-as-a-Service)

Lo spoofing delle e-mail "as-a-service" è stato il il crimine informatico segnalato con maggiore frequenza negli Stati Uniti nel 2024. Gli autori degli attacchi si spacciavano per persone o organizzazioni affidabili per indurre i destinatari a cliccare su link dannosi o a fornire informazioni sensibili, causando massicce violazioni dei dati, perdite finanziarie e danni alla reputazione.

Viene utilizzato anche per attacchi sofisticati, come le truffe di tipo Business Email Compromise (BEC). Si tratta di una forma di frode via e-mail che prende di mira le aziende e che, in genere, comporta l’usurpazione dell’identità di dirigenti di alto livello, fornitori o partner. Nel corso degli anni, questo fenomeno ha causato da solo alle aziende perdite per miliardi di dollari.

Le due truffe via e-mail di tipo BEC più diffuse, rese possibili dal servizio di spoofing-as-a-service, sono:

• Frode da parte dell’amministratore delegato: Un malintenzionato falsifica l'indirizzo e-mail dell'amministratore delegato e ordina al team finanziario di effettuare un bonifico urgente su un conto di un nuovo fornitore. L'e-mail sembra autentica, arriva al momento giusto e supera i controlli manuali.
• Frode nelle fatture: E-mail contraffatte provenienti dal dominio di un fornitore ordinano al team addetto alla contabilità fornitori di aggiornare le coordinate bancarie prima di un pagamento di importo elevato, reindirizzando i fondi sul conto dell'autore dell'attacco.

Oltre alla perdita economica diretta, un attacco di spoofing mina la fiducia dei clienti e fa sì che le tue e-mail legittime vengano inserite nella lista nera come spam.

Come riconoscere un'e-mail contraffatta?

Le e-mail contraffatte non sono sempre facili da individuare. Sapere quali elementi cercare è fondamentale per mettere a punto un sistema di sicurezza e-mail efficace, soprattutto prima che i controlli tecnici siano pienamente operativi. 

• Discrepanza nell'indirizzo del mittente: Il nome visualizzato corrisponde a un contatto noto, ma passando il mouse sopra di esso si nota un dominio diverso. Quello che nella tua e-mail potrebbe apparire come "Amministratore delegato John Smith" potrebbe in realtà essere un dominio casuale o simile.
• Urgenza o richieste insolite: Le e-mail contraffatte spesso spingono i destinatari a compiere azioni urgenti, come effettuare bonifici, condividere credenziali o aprire allegati, per aggirare le normali procedure di verifica.
• L'indirizzo "Reply-to" è diverso dall'indirizzo "Da": Gli autori degli attacchi impostano un indirizzo "Reply-to" diverso in modo che le risposte arrivino a loro, anziché all'indirizzo e-mail falsificato.
• Intestazioni di autenticazione non superate: L'analisi completa dell'intestazione dell'e-mail rivela se il messaggio ha superato i controlli SPF, DKIM e DMARC. Il fallimento in uno qualsiasi di questi controlli è un forte indicatore di spoofing.
• Domini simili: Gli hacker registrano domini che assomigliano molto a quelli reali (ad esempio, paypa1.com invece di paypal.com). Utilizza il Lookalike Domain Checker per identificare i domini che si spacciano per il tuo marchio.

PowerDMARC’s Analizzatore di intestazioni e-mail di PowerDMARC analizza direttamente i risultati delle autenticazioni SPF, DKIM e DMARC per un'ispezione tecnica più approfondita.

Prevenzione dello spoofing delle e-mail come servizio

La soluzione agli attacchi di spoofing via e-mail consiste in una combinazione di misure tecniche e non tecniche. Dal punto di vista tecnico, si privilegia l’uso di DMARC (Domain-based Message Authentication, Reporting, and Conformance), SPF (Sender Policy Framework) e DKIM (DomainKeys Identified Mail). 

Essi impediscono lo spoofing delle e-mail verificando che l’indirizzo e-mail del mittente corrisponda al dominio da cui dichiara di provenire. Per un confronto dettagliato, consulta la guida di PowerDMARC su SPF vs DKIM vs DMARC.

L'attuazione dovrebbe inoltre seguire un approccio sequenziale:

• Verifica la tua configurazione attuale: Utilizza lo strumento DMARC Record Checker di PowerDMARC per verificare se per il tuo dominio è già stata pubblicata una policy e se questa è configurata correttamente.
• Pubblica un record SPF: Elenca tutti gli indirizzi IP e i servizi autorizzati a inviare e-mail per conto del tuo dominio in un record TXT nel tuo DNS.
• Abilita la firma DKIM: Configura la tua piattaforma di posta elettronica in modo che le email in uscita siano firmate con una chiave privata DKIM, così che i server di destinazione possano verificare la firma.
• Implementare innanzitutto DMARC con p=none: Inizia raccogliendo i report aggregati DMARC per identificare tutte le fonti di invio legittime prima di passare alla fase di applicazione.
• Passare a p=reject: Una volta allineati tutti i mittenti legittimi, imposta la tua politica DMARC su p=reject. Ciò indica ai server di ricezione di scartare qualsiasi email che non superi l'autenticazione, bloccando completamente le email contraffatte inviate dal tuo dominio.

Il livello non tecnico mira a ridurre le possibilità di errore umano. Formare i dipendenti sui rischi dello spoofing delle e-mail e su come riconoscere e-mail di phishing aiuta a prevenire attacchi riusciti. Inoltre, è necessario definire e far rispettare politiche di posta elettronica che richiedano l'autenticazione a più fattori e password complesse.

Il crescente timore degli attacchi “as-a-service”

Negli attacchi “as-a-service”, un hacker si avvale di un servizio standardizzato per svolgere attività dannose su larga scala. Gli attacchi più comuni che riguardano la sicurezza della posta elettronica rientrano in due categorie: gli attacchi alla catena di fornitura e gli attacchi “software-as-a-service” (SaaS).

• Nel primo caso, un malintenzionato sfrutta un fornitore o un partner terzo compromesso per ottenere l'accesso alla rete dell'azienda bersaglio.
• Negli attacchi SaaS, un malintenzionato utilizza applicazioni SaaS legittime fornite dall'azienda bersaglio per ottenere l'accesso alla sua rete.

Gli attacchi informatici “as-a-service” vengono sferrati in vari modi. L’infezione di un sistema con malware consente agli hacker di accedere a dati e credenziali. Gli hacker sfruttano inoltre le vulnerabilità presenti nelle applicazioni di terze parti, compresi i client di posta elettronica come Microsoft Outlook. Molti aggressori inviano e-mail di massa contraffatte e ben congegnate da indirizzi falsificati per sottrarre credenziali o autorizzare transazioni fraudolente.

L'uso di strumenti di phishing basati sull'intelligenza artificiale rappresenta un'altra variante particolarmente preoccupante. Gli autori degli attacchi ricorrono sempre più spesso ai modelli linguistici di grandi dimensioni (LLM) per creare su larga scala e-mail contraffatte altamente personalizzate e convincenti. Le tradizionali difese basate sull'ingegneria sociale si rivelano inefficaci contro misure concepite appositamente per aggirarle.

Da non perdere: Per ulteriori informazioni su queste minacce emergenti, consulta questo blog su Sicurezza degli agenti IA: rischi, best practice e autenticazione delle e-mail di PowerDMARC.

Il servizio di spoofing delle e-mail è ormai uno dei punti di accesso più accessibili a questo panorama più ampio di minacce “as-a-service”. Questi servizi riducono drasticamente la soglia di competenza necessaria per sferrare un attacco di impersonificazione convincente, occupandosi di tutte le complessità tecniche per conto dei propri clienti.

Conclusione

Lo spoofing delle e-mail "as-a-service" è ormai una minaccia sistematica per le aziende. Gli autori degli attacchi utilizzano queste piattaforme per spacciarsi per persone o organizzazioni affidabili, causando la perdita di dati, denaro e reputazione.

Per risolvere questo problema sono necessarie misure sia tecniche che non tecniche. Ciò significa investire in protocolli di autenticazione, formazione e sensibilizzazione degli utenti, nonché in politiche di sicurezza relative alla posta elettronica. 

I servizi gestiti di PowerDMARC Servizi gestiti DMARC di PowerDMARC semplificano il passaggio dal monitoraggio passivo all’applicazione attiva delle misure di protezione della posta elettronica. Grazie alla reportistica DMARC automatizzata, al flattening SPF, al DKIM in hosting e all’assistenza 24 ore su 24, contribuiscono a proteggere il tuo dominio anche quando minacce come lo spoofing delle e-mail si evolvono.

Domande frequenti

1. Che cos’è lo “spoofing via e-mail come servizio”?

Lo "spoofing-as-a-service" via e-mail è un tipo di piattaforma dedicata al crimine informatico che fornisce agli utenti gli strumenti per inviare e-mail da indirizzi mittente falsificati a fronte di una modica somma. Questi servizi gestiscono la complessità tecnica dello spoofing, consentendo anche ad aggressori privi di competenze tecniche di spacciarsi per organizzazioni o individui affidabili su larga scala.

2. Come funziona il servizio di spoofing delle e-mail?

L'utente fornisce l'indirizzo e-mail che desidera venga visualizzato come mittente (l'indirizzo "Da"), l'indirizzo del destinatario e il contenuto dell'e-mail. La piattaforma, quindi, falsifica l'intestazione e instrada l'e-mail attraverso la propria infrastruttura, evitando così che l'autore dell'attacco debba controllare il server di posta del dominio falsificato.

3. Come posso impedire a qualcuno di falsificare il mio indirizzo e-mail?

La misura di difesa tecnica più efficace consiste nel pubblicare un record DMARC impostato su p=reject, supportato da record SPF e DKIM correttamente configurati. Ciò indica ai server di posta in ricezione di rifiutare qualsiasi email che non superi l'autenticazione.

4. Qual è la differenza tra lo spoofing delle e-mail e il phishing?

Lo spoofing delle e-mail si riferisce specificatamente alla falsificazione dell’indirizzo e-mail del mittente. Il phishing è una strategia di attacco più ampia che utilizza e-mail ingannevoli per indurre i destinatari a rivelare le proprie credenziali o a compiere azioni dannose. Spesso ricorre allo spoofing come tecnica. Tutte le e-mail di phishing che si spacciano per un marchio o una persona nota si basano su una qualche forma di spoofing, ma non tutte le e-mail con spoofing sono attacchi di phishing.

5. Il DMARC può impedire lo spoofing delle e-mail come servizio?

Sì. Il protocollo DMARC è stato progettato specificatamente per impedire lo spoofing dei domini. Quando la politica DMARC è impostata su p=reject, i server di posta in arrivo scarteranno qualsiasi email che dichiari di provenire dal tuo dominio ma che non superi i controlli di autenticazione SPF o DKIM. Ciò significa che le piattaforme di spoofing-as-a-service non possono consegnare con successo alle caselle di posta protette le email che si spacciano per provenienti dal tuo dominio.

6. Le piattaforme di spoofing delle e-mail “as-a-service” sono illegali?

L'utilizzo di servizi di spoofing delle e-mail per inviare messaggi fraudolenti o ingannevoli è illegale nella maggior parte delle giurisdizioni ai sensi delle leggi in materia di frodi informatiche, antispam e frodi telematiche. Tuttavia, queste piattaforme operano spesso a livello transnazionale, rendendo difficile l'applicazione delle norme. La protezione più affidabile per la vostra organizzazione consiste nell'implementare i protocolli DMARC, SPF e DKIM per impedire che le e-mail contraffatte raggiungano i destinatari.

Articoli correlati

• Ransomware-as-a-Service (RaaS)
• Malware-as-a-Service (MaaS)
• Phishing-as-a-Service (PhaaS)

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Come funziona lo spoofing delle e-mail come servizio (Email Spoofing-as-a-Service) e come contrastarlo - 24 giugno 2026
• Ricognizione per il phishing: come gli autori degli attacchi individuano e prendono di mira i domini vulnerabili - 24 giugno 2026
• Come creare un team di sicurezza informatica altamente performante per la tua azienda - 23 giugno 2026