10.02.2026 - Durante la scorsa settimana sono giunte all’UFCS numerose segnalazioni riguardo a un fenomeno che a prima vista potrebbe sembrare un massiccio attacco spam, mentre in realtà si tratta di una manovra diversiva mirata dei cibercriminali: Il cosiddetto «Subscription Bombing».
Immaginatevi di ricevere nel giro di pochi minuti centinaia se non addirittura migliaia di e-mail di conferma, per esempio per sottoscrizioni di newsletter relative a siti web di tutto il mondo. L’obiettivo di un simile attacco non è di molestare i destinatari: Gli aggressori sfruttano la marea di posta elettronica per celare un’unica e-mail critica. Nella maggioranza dei casi gli autori hanno già ottenuto l’accesso a un conto della vittima (per es. nell’e-banking oppure presso gli shop online) e avviato una transazione. L’avviso di sicurezza o la conferma del servizio in oggetto si perde nella massa del «Bombing» e non viene notata dalla vittima.
Perché i filtri classici non fanno effetto
Per gli amministratori il «Subscription Bombing» costituisce una sfida particolare. Le e-mail provengono da server legittimi sparsi in tutto il mondo, cosicché sovente le blacklist e i filtri antispam classici non funzionano.
- Legittimità tramite «SPF», «DKIM» e «DMARC»
Gli aggressori utilizzano formulari autentici di aziende serie. Dato che tali aziende configurano correttamente i loro server di posta elettronica tramite SPF («Sender Policy Framework») e DKIM («DomainKeys Identified Mail»), i filtri antispam classificano i messaggi come non rischiosi. Un filtraggio più rigoroso avrebbe inoltre come conseguenza che verrebbero bloccati anche gli avvisi di sistema auspicati.
- Problematica del «backscatter»
In alcuni casi il «bombing» è generato da messaggi di errore (cosiddetti «non-delivery reports») quando gli aggressori falsificano l’indirizzo e-mail della vittima come mittente. In questo caso una DMARC-Policy rigida (p=reject) per l’intero dominio permette di arginare gli abusi della propria identità – tuttavia non è purtroppo possibile escluderli completamente.
Gli indirizzi e-mail non vanno indicati «in chiaro»
Un elemento centrale per la pianificazione degli attacchi è la semplicità nella disponibilità degli indirizzi target. L’UFCS constata che sovente gli indirizzi vengono raccolti tramite uno «scraping» automatizzato dei siti delle aziende.
- Niente indirizzi e-mail «in chiaro»: Gli indirizzi e-mail non andrebbero mai indicati «in chiaro» sui siti web, in quanto i bots sono in grado di estrapolarli in automatico.
- Misure di protezione: Nei formulari di contatto utilizzate dei captchas che permettono di verificare se un utente online sia effettivamente una persona e non un bot, oppure mascherate gli indirizzi e-mail nel codice sorgente tramite JavaScript oppure offuscamento, al fine di ostacolare un rilevamento automatico.
Raccomandazioni per chi ne è colpito
Se siete stati sorpresi da un’improvvisa marea di e-mail:
- Non cancellate tutto in presa al panico. Cercate prima di tutto in modo mirato termini del tipo «password», «pagamento», «ordine» o «sicurezza», al fine di trovare avvertimenti nascosti.
- Controllate direttamente i vostri conti principali (e-banking, carte di credito) per rilevare eventuali attività sospette. Se del caso, contattate l’offerente in questione e modificate le password.
- Non reagite alle e-mail di spam.
Raccomandazioni per gestori di siti web
Evitate che il vostro sito diventi uno strumento per simi attacchi:
- Proteggete tutti i formulari in rete (iscrizioni alle newsletter, formulari di contatto) tramite richieste del tipo «reCAPTCHA» «hCaptcha».
- Limitate il numero di iscrizioni o prese di contatto per i singoli indirizzi IP e fasce temporali.
- Inviate e-mail di conferma soltanto dopo una richiesta captcha andata a buon fine.
Numeri e statistiche attuali
Segnalazioni della scorsa settimana per categoria:
Ultima modifica 10.02.2026
