Ricognizione per il phishing: come gli autori degli attacchi individuano e prendono di mira i domini vulnerabili

La maggior parte delle persone immagina il phishing come un gioco di numeri: inviare milioni di e-mail e aspettare che qualcuno clicchi. Alcune campagne funzionano ancora in questo modo. Ma gli attacchi che causano danni reali, quelli che arrivano nelle caselle di posta aziendali e ingannano anche i dipendenti più esperti, non partono quasi mai dall’invio di un messaggio. Partono dalla ricerca.

La ricognizione per il phishing è il processo strutturato che gli autori degli attacchi utilizzano per analizzare un dominio bersaglio prima ancora di scrivere una sola e-mail. Esaminano i registri di autenticazione, la configurazione DNS, l’impronta dei sottodomini e la complessità dell’ambiente di invio. L’obiettivo è chiaro: individuare i domini in cui un messaggio contraffatto ha maggiori possibilità di eludere i filtri e raggiungere una casella di posta reale.

Secondo l’APWG, solo nel primo trimestre del 2025 sono stati registrati oltre un milione di attacchi di phishing, e il rapporto IC3 dell’FBI del 2024 indica il phishing e lo spoofing come la categoria di reclami più frequente. Ciò che rende possibile un volume così elevato è il fatto che la fase di ricognizione non richiede alcun accesso speciale, né exploit, né strumenti privilegiati. Si basa quasi interamente su informazioni disponibili pubblicamente. Comprendere cosa possono vedere gli aggressori riguardo al proprio dominio – utilizzando gli stessi strumenti che usano loro – è il modo più diretto per colmare le lacune su cui fanno affidamento.

Che cos’è la ricognizione di phishing?

La ricognizione di phishing è la fase preliminare all'attacco in cui un autore di minacce raccoglie informazioni disponibili pubblicamente su un bersaglio per massimizzare le probabilità di successo della propria campagna. Si tratta di una forma di OSINT (Open Source Intelligence), ovvero la raccolta di dati da fonti già accessibili al pubblico senza richiedere alcun attacco diretto o accesso non autorizzato.

Nel contesto del phishing via e-mail, la fase di ricognizione si concentra su tre aspetti: comprendere il livello di sicurezza dell’autenticazione del dominio di destinazione, mappare l’intera infrastruttura di invio e dei sottodomini e identificare il punto più debole attraverso il quale un’e-mail contraffatta ha maggiori probabilità di superare i filtri e raggiungere la casella di posta in arrivo. Un dominio con controlli di autenticazione deboli o assenti, con sottodomini non monitorati e un ambiente di invio complesso e non documentato, rappresenta il bersaglio ideale.

Gli strumenti utilizzati in questa fase – strumenti di ricerca DNS, registri di trasparenza dei certificati, enumeratori di sottodomini, record WHOIS e servizi di verifica delle e-mail – sono tutti gratuiti, documentati pubblicamente e non richiedono competenze tecniche per essere utilizzati. La soglia per effettuare ricognizioni di phishing su qualsiasi dominio è bassa. Anche la soglia per difendersi da tali attacchi è bassa, se si sa cosa cercare.

Fase 1: Verifica dello stato di autenticazione del dominio

La prima cosa che un autore di attacchi di phishing verifica è il record DMARC del dominio. Ci vogliono pochi secondi utilizzando qualsiasi strumento gratuito di ricerca DNS e si scopre immediatamente il livello di applicazione in vigore.

Ricerca delle politiche DMARC

Ciò che gli autori degli attacchi sperano di trovare è p=none, ovvero l’assenza totale di un record DMARC. Un dominio con p=none ha pubblicato un record DMARC – il che significa che è in atto un certo monitoraggio – ma ha istruito ogni server di posta ricevente a non intraprendere alcuna azione quando un’e-mail non supera l’autenticazione. In pratica, un malintenzionato può inviare un’e-mail contraffatta da quel dominio; il server ricevente può rilevare che non è autenticata, ma comunque consegnarla perché la politica del dominio stesso impone di non bloccarla.

I domini privi di qualsiasi record DMARC sono ancora più esposti. Non vi sono istruzioni relative alle politiche, né reportistica aggregata, né visibilità forense. Gli autori degli attacchi li individuano attivamente e li considerano obiettivi prioritari per lo spoofing proprio perché il proprietario del dominio non dispone di alcun meccanismo per rilevare o bloccare i tentativi di usurpazione d'identità.

Il valore "p=none" è un punto di partenza comune per le organizzazioni che stanno configurando il sistema di autenticazione: un punto ragionevole da cui iniziare il monitoraggio prima di passare alla fase di applicazione delle regole. Il problema è che molte organizzazioni partono da lì e non vanno mai oltre. I domini che rimangono attivi per mesi o anni con il valore "p=none" costituiscono una categoria ben documentata e spesso presa di mira nelle campagne di phishing.

Verifica dei record SPF

Dopo il DMARC, gli aggressori controllano il record SPF. Un record SPF ben configurato elenca tutti i server autorizzati a inviare messaggi per conto del dominio e termina con -all, indicando ai server riceventi di rifiutare qualsiasi messaggio non presente in tale elenco. Ciò che gli hacker cercano è un record SPF permissivo che termini con ~all (soft fail, che consente comunque la consegna del messaggio) o +all (che autorizza qualsiasi mittente), oppure un record SPF che abbia superato il limite di dieci ricerche DNS, causandone il fallimento completo.

Un record SPF che termina con ~all anziché con -all rappresenta una differenza sottile ma significativa: i server di ricezione considerano i soft fail come sospetti, ma in genere consegnano comunque il messaggio, soprattutto quando DMARC non è impostato in modalità di applicazione. Gli autori degli attacchi che individuano questa combinazione – SPF con ~all e DMARC impostato su p=none – sanno che le e-mail contraffatte provenienti da quel dominio, nella maggior parte dei casi, raggiungeranno la casella di posta in arrivo.

Verifica della configurazione DKIM

Il DKIM è leggermente più difficile da verificare direttamente, poiché la ricerca di una chiave pubblica DKIM richiede la conoscenza del selettore in uso. Tuttavia, gli aggressori possono dedurre la configurazione DKIM dai report aggregati DMARC e dalle intestazioni delle e-mail osservate in qualsiasi messaggio inviato legittimamente dal dominio di destinazione. Le intestazioni acquisite dalle notifiche di LinkedIn, dagli abbonamenti ai comunicati stampa o dalle e-mail di marketing rivelano il selettore DKIM e il dominio di firma in uso. Una volta che un malintenzionato conosce il selettore, può interrogare la chiave pubblica e verificare se la firma DKIM è attiva e coerente.

I domini che applicano la firma in modo incoerente – ovvero quelli in cui alcune fonti di invio si autenticano tramite DKIM mentre altre no – sono particolarmente vulnerabili. L’allineamento DMARC richiede che almeno uno tra SPF e DKIM superi il controllo con allineamento dell’identificatore. Un dominio in cui parte del traffico si autentica e parte no è esattamente il tipo di ambiente in cui il traffico contraffatto si confonde con gli errori legittimi.

Fase 2: Mappatura dell'impronta dei sottodomini e dei domini

I controlli di autenticazione del dominio prendono di mira il dominio principale. Tuttavia, la maggior parte delle organizzazioni ha un’impronta di dominio molto più ampia di quella monitorata attivamente – e le attività di ricognizione finalizzate al phishing sono progettate proprio per individuarla.

Enumerazione dei log di trasparenza dei certificati

Ogni certificato SSL/TLS emesso per un dominio viene registrato pubblicamente nei log della Certificate Transparency (CT), che sono accessibili a tutti e consultabili da chiunque. Strumenti come crt.sh consentono a un malintenzionato di consultare in pochi secondi la cronologia completa dei certificati relativi a un dominio, rivelando ogni sottodominio per il quale sia mai stato emesso un certificato, inclusi ambienti di sviluppo, server di staging, micrositi regionali e pagine di campagne ormai dimenticate da tempo.

Si tratta di una delle tecniche di ricognizione passiva più potenti disponibili, poiché è completa e di natura storica. I sottodomini che sono stati nel frattempo dismessi, ma ai quali in passato erano stati rilasciati certificati, continuano ad apparire nei log CT. Un aggressore può ricostruire un quadro storico completo della presenza dei sottodomini di un’organizzazione senza inviare un solo pacchetto all’obiettivo.

Enumerazione dei sottodomini

Oltre ai log CT, i database DNS passivi e gli strumenti di attacco brute-force ai sottodomini possono far emergere ulteriori sottodomini. Il dirottamento dei sottodomini – in cui il record DNS di un sottodominio dimenticato punta ancora a un servizio dismesso che un aggressore può appropriarsi – è un modello di attacco documentato che la ricognizione cerca specificatamente. Un sottodominio con un record CNAME "dangling" che punta a un servizio di terze parti scaduto può essere preso di mira e utilizzato per inviare e-mail di phishing che sembrano provenire dall’organizzazione legittima.

I sottodomini sono particolarmente vulnerabili al phishing perché tendono a non rientrare nell’ambito di autenticazione configurato dai team di sicurezza. Un dominio in cui il dominio di invio principale è soggetto all’applicazione del DMARC, ma i sottodomini non sono coperti dal tag DMARC "sp", espone ogni sottodominio al rischio di spoofing, indipendentemente da quanto previsto dalla politica principale.

WHOIS e cronologia della registrazione del dominio

I record WHOIS rivelano le date di registrazione, le informazioni sul registrar e, in alcuni casi, i dettagli del registrante. L’età del dominio è un indicatore che gli aggressori utilizzano per valutare se un dominio abbia una storia di invio consolidata tale da rendere più difficile il filtraggio del traffico contraffatto. Utilizzano inoltre il WHOIS per identificare domini correlati registrati dalla stessa organizzazione – domini acquisiti, registrazioni a tutela del marchio, varianti regionali – che potrebbero non essere monitorati attivamente.

Fase 3: Analisi dell'ambiente del mittente

L'ambiente di invio di un dominio – ovvero l'insieme completo dei servizi e delle piattaforme autorizzati a inviare e-mail per suo conto – è visibile tramite i report aggregati DMARC e può essere parzialmente dedotto dalle intestazioni delle e-mail osservabili pubblicamente. Per gli autori di attacchi di phishing, un ambiente di invio complesso o scarsamente documentato rappresenta una vulnerabilità da sfruttare.

Complessità dei mittenti terzi

Le organizzazioni moderne inviano solitamente e-mail da numerose fonti: un server di posta principale, una piattaforma di marketing, un CRM come HubSpot, un sistema di gestione dei ticket, un fornitore di servizi di fatturazione, uno strumento di calendario. Ciascuna di queste fonti richiede un’autorizzazione esplicita nel record SPF e nella configurazione DKIM. Ciascuna genera voci nei report aggregati DMARC. Per le grandi organizzazioni, tali report possono contenere migliaia di righe al giorno provenienti da decine di fonti di invio.

Questo volume genera rumore, e gli autori di attacchi di phishing lo sfruttano deliberatamente. Quando i dati aggregati DMARC di un’organizzazione mostrano quaranta mittenti autorizzati, il rapporto segnale/rumore per l’individuazione di una fonte anomala diminuisce in modo significativo. Il traffico di spoofing a basso volume – poche centinaia di messaggi al giorno provenienti da una fonte malevola – può confondersi nei dati di reporting di un ambiente di invio aziendale molto trafficato senza attivare avvisi automatici.

Intestazioni delle e-mail visibili

Le e-mail legittime inviate dal dominio di destinazione rappresentano una delle fonti più utili di informazioni sull’ambiente del mittente a disposizione di un operatore di phishing. Le newsletter di marketing, gli abbonamenti ai comunicati stampa, le conferme di candidatura e le notifiche ai clienti contengono tutte intestazioni e-mail che rivelano l’infrastruttura di invio utilizzata: l’agente di trasferimento della posta, il selettore DKIM e il dominio di firma, il dominio Return-Path e i risultati dell’autenticazione registrati dal server ricevente.

Un malintenzionato che si iscrive alla mailing list di marketing di un’organizzazione bersaglio ottiene una visione dettagliata della sua configurazione di autenticazione senza alcun costo e senza lasciare tracce rilevabili. Queste informazioni influenzano direttamente la struttura della campagna di phishing: quale mittente impersonare, quali intestazioni falsificare e quali lacune di autenticazione potrebbero consentire il passaggio del messaggio.

Fase 4: Convalida del target prima del lancio

Una volta analizzato un dominio, gli autori di attacchi di phishing effettuano ulteriori controlli prima di lanciare una campagna, al fine di massimizzare le probabilità di successo e ridurre al minimo lo spreco di risorse infrastrutturali.

Verifica dell'indirizzo e-mail

Gli operatori verificano che gli indirizzi e-mail di destinazione siano attivi e appartengano a figure di alto livello: dirigenti, membri del team finanziario, chiunque abbia accesso a sistemi sensibili o l’autorizzazione ad approvare i pagamenti. L’invio a indirizzi non validi genera elevati tassi di rimbalzo, il che può far aumentare il punteggio di spam sull’infrastruttura di invio e accrescere il rischio di rilevamento prima ancora che la campagna raggiunga i suoi veri destinatari.

Gli indirizzi e-mail vengono spesso raccolti da LinkedIn, dai siti web aziendali, dai database provenienti da violazioni dei dati e da campagne precedenti. Strumenti come theHarvester automatizzano questa operazione su un dominio di destinazione, estraendo gli indirizzi e-mail dei dipendenti dai risultati dei motori di ricerca, dai social media e dalle directory pubbliche.

Avvio dell'infrastruttura di invio

La maggior parte dei principali provider di posta elettronica considera la cronologia degli invii come un indicatore di affidabilità. Un dominio appena registrato e privo di cronologia degli invii ha molte più probabilità di essere segnalato dai filtri basati sulla reputazione rispetto a uno già consolidato. Ecco perché gli autori di attacchi di phishing registrano spesso domini simili a quelli legittimi settimane o mesi prima di una campagna e effettuano invii su piccola scala per costruirsi una reputazione di base prima di passare a operazioni su più ampia scala.

La fase di avvio è pensata per superare gli stessi controlli di reputazione a cui vengono sottoposti i mittenti legittimi quando integrano nuovi domini. Dall’esterno, l’infrastruttura appare come una nuova azienda o un nuovo servizio che sta iniziando a inviare e-mail. Al momento del lancio della campagna, il dominio avrà già superato i filtri iniziali di reputazione.

Costruzione di domini omografi e simili

Secondo il Domain Security Report di CSC, l’88% dei domini omografi che prendono di mira i principali marchi è di proprietà di terzi. Questi domini sostituiscono o inseriscono caratteri quasi identici per superare un rapido controllo visivo: “arnazon.com” al posto di “amazon.com”, oppure caratteri Unicode che nella maggior parte dei client di posta elettronica vengono visualizzati in modo identico alle lettere latine.

I domini simili vengono creati anche per l’usurpazione del nome visualizzato: in questo caso, l’intestazione “From” riporta un nome attendibile, ma il dominio effettivo da cui proviene il messaggio è un dominio simile. Questa tecnica aggira completamente il DMARC, poiché il DMARC autentica solo il dominio presente nell’intestazione “From” rispetto a SPF e DKIM, non il nome visualizzato. Questo è uno dei motivi per cui l’applicazione del DMARC da sola, pur essendo essenziale, non costituisce l’unico livello di protezione necessario.

Trasformare le attività di ricognizione del phishing in un vantaggio difensivo

Ogni indicatore ricercato dalle attività di ricognizione del phishing è un indicatore che il vostro team di sicurezza può verificare e monitorare utilizzando gli stessi strumenti disponibili al pubblico. L’obiettivo è garantire che, quando un aggressore analizza il vostro dominio, non trovi nulla che valga la pena prendere di mira: applicazione rigorosa delle procedure di autenticazione, un ambiente di invio documentato e nessun sottodominio abbandonato.

Verificare la politica DMARC su tutti i domini e sottodomini

Inizia recuperando i record DMARC relativi al tuo dominio principale e a tutti i sottodomini che riesci a identificare. Qualsiasi dominio che sia ancora impostato su p=none e che sia attivo da più di qualche mese rappresenta una priorità. Il passaggio da p=none a p=reject non deve necessariamente avvenire dall’oggi al domani, ma deve seguire una tempistica definita e non rimanere indefinitamente in modalità di monitoraggio.

Configurare esplicitamente il tag DMARC "sp" per estendere l'applicazione delle regole ai sottodomini. I sottodomini inattivi, privi di traffico di invio legittimo, dovrebbero essere impostati immediatamente su "p=reject". Non vi è alcun motivo di lasciare l'applicazione delle regole su "none" per un dominio che non invia nulla.

Verifica e ottimizza il tuo record SPF

Esegui una ricerca del record SPF sul tuo dominio e verifica che ogni mittente elencato sia ancora attivamente utilizzato e correttamente autorizzato. Sostituisci eventuali qualificatori ~all con -all laddove il tuo ambiente di invio sia stabile e completamente documentato. Se il tuo record sta per raggiungere o ha superato il limite di dieci ricerche DNS, risolvi il problema ricorrendo all’appiattimento SPF: un record SPF che supera il limite fallisce completamente, il che è peggio dell’assenza di un record in termini di deliverability, oltre a rappresentare una configurazione errata che gli aggressori possono rilevare.

Mappa e monitora l'intero ambiente dei mittenti

Utilizza i report aggregati DMARC per creare un elenco completo di tutte le fonti che inviano e-mail dichiarando di provenire dal tuo dominio. Qualsiasi fonte che compaia nei report e che non figuri nel tuo elenco di mittenti autorizzati è o un servizio legittimo configurato in modo errato oppure un mittente non autorizzato. Entrambi i casi devono essere risolti.

Nella maggior parte delle organizzazioni vengono continuamente integrati nuovi strumenti SaaS e nuove integrazioni. Ciò significa che l’ambiente del mittente non è statico. Un inventario che tre mesi fa era accurato potrebbe oggi risultare obsoleto. Considerate la mappatura dell’ambiente del mittente come un processo ricorrente, non come un’operazione una tantum.

Elenca i tuoi sottodomini

Utilizza crt.sh e strumenti di DNS passivo per ricostruire lo stesso quadro dell’impronta del tuo dominio che ne avrebbe un malintenzionato. Qualsiasi elemento non monitorato, non autenticato o con un record DNS non risolto che individuate deve essere risolto immediatamente. Per quanto riguarda i domini simili e omografi, gli strumenti di protezione dallo spoofing dei domini e di monitoraggio del marchio possono individuarli prima che vengano utilizzati in una campagna attiva. Per i vostri domini, vale la pena esaminare i rischi di sicurezza nascosti legati alla presenza di più domini e sottodomini come punto di partenza per un audit completo dei domini.

Cosa scoprono gli hacker quando effettuano un'operazione di ricognizione di phishing sul tuo dominio

L'intero processo di ricognizione per il phishing descritto sopra – verifica delle misure di autenticazione, mappatura dell'impronta dei sottodomini, analisi dell'ambiente del mittente, convalida degli obiettivi – richiede a un hacker esperto meno di un'ora utilizzando strumenti gratuiti. Uno strumento di verifica DMARC, una ricerca SPF, crt.sh e una query WHOIS sono sufficienti per determinare se vale la pena prendere di mira il vostro dominio.

Le organizzazioni più difficili da attaccare sono quelle in cui la ricognizione non restituisce alcun risultato utile: una politica DMARC impostata su p=reject con copertura dei sottodomini, un record SPF pulito che termina con -all, firma DKIM documentata su tutte le fonti di invio e nessun sottodominio abbandonato con falle di autenticazione aperte. Quando la ricognizione di un aggressore individua un dominio che ha chiuso queste porte, passa oltre. Questo è l’obiettivo.

• Informazioni su
• Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

• Ricognizione per il phishing: come gli autori degli attacchi individuano e prendono di mira i domini vulnerabili - 24 giugno 2026
• Come creare un team di sicurezza informatica altamente performante per la tua azienda - 23 giugno 2026
• Sicurezza delle e-mail e delle buste paga delle risorse umane: migliori pratiche per i team globali - 22 giugno 2026