Spoofing dell'e-mail

Lo spoofing delle e-mail è la falsificazione dell'intestazione di un'e-mail nella speranza di ingannare il destinatario facendogli credere che l'e-mail provenga da una fonte diversa. Poiché i protocolli di posta elettronica di base non dispongono di un metodo di autenticazione integrato, le e-mail di spam e phishing utilizzano comunemente lo spoofing per indurre il destinatario a fidarsi del mittente.

L'obiettivo finale dello spoofing e-mail è far sì che i destinatari aprano e, possibilmente, rispondano a una sollecitazione. Sebbene i messaggi falsificati siano solitamente solo un fastidio che richiede poca azione oltre alla rimozione, le varietà più dannose possono causare problemi significativi e talvolta rappresentare una vera minaccia alla sicurezza.

Un esempio di email contraffatta potrebbe essere un messaggio che si spaccia per provenire da un noto rivenditore, chiedendo al destinatario di fornire informazioni personali come una password o il numero della carta di credito. L'email falsa potrebbe persino chiedere al destinatario di cliccare su un link che offre un'offerta a tempo limitato, che in realtà è un link per scaricare e installare malware sul dispositivo del destinatario.

• Il spoofing delle e-mail è il processo di furto d'identità di un indirizzo e-mail attendibile con l'obiettivo di mascherare l'identità di un criminale informatico.
• Il Simple Mail Transfer Protocol (SMTP) manca di autenticazione delle e-mail, rendendo facile per i criminali informatici falsificare gli indirizzi e-mail del mittente.
• Lo spoofing non deve essere confuso con il phishing. Lo spoofing si concentra sul mascheramento dell'identità del mittente, mentre il phishing si concentra sull'ottenimento di informazioni private.
• Lo spoofing delle e-mail è una tattica utilizzata nella maggior parte degli attacchi di phishing.
• Ci sono molti segnali che gli utenti finali possono cercare per individuare le e-mail di spoofing. Educare i dipendenti su questi segnali di avvertimento è spesso la migliore linea di difesa contro questi attacchi.

Sfruttando la mancanza di autenticazione integrata nei protocolli e-mail principali, i criminali informatici hanno ideato un modo efficiente per utilizzare lo spoofing per indurre i destinatari a fidarsi dell'origine di un'e-mail. Questa pratica risale agli anni '70, quando gli hacker sfruttavano le vulnerabilità nei protocolli e-mail privi di autenticazione.

Tuttavia, lo spoofing delle e-mail non è decollato fino agli anni '90, quando gli spammer hanno iniziato a usarlo per bypassare i filtri. Entro gli anni 2000, era diventato una minaccia globale per la sicurezza informatica.

Oggi, i protocolli di sicurezza come Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) e Domain-Based Message Authentication, Reporting, and Conformance (DMARC) aiutano a contrastare lo spoofing delle e-mail. Nonostante questi sforzi, lo spoofing delle e-mail rimane un problema significativo. Resta un vettore primario per truffe di Business Email Compromise (BEC) e attacchi di phishing, con Google che blocca quasi 100 milioni e-mail di phishing al giorno.

Il phishing è un attacco di ingegneria sociale in cui i criminali informatici tentano di ingannare gli individui per indurli a rivelare informazioni sensibili fingendosi un'entità legittima, tipicamente tramite e-mail o siti web fraudolenti. Lo spoofing è una tecnica utilizzata per mascherare l'identità o l'origine del mittente. È una tattica comune nel phishing e in altri attacchi.

Ecco uno sguardo fianco a fianco su come il phishing e lo spoofing si confrontano:

Gli attacchi di phishing mirano a ingannare gli utenti affinché divulghino dati personali o eseguano azioni vantaggiose per l'attaccante. Le e-mail falsificate, che impersonano fonti fidate, sono spesso utilizzate per rendere i tentativi di phishing più convincenti. Mentre il phishing mira principalmente alla psicologia umana, il spoofing sfrutta vulnerabilità tecniche per bypassare le misure di sicurezza.

Il spoofing delle e-mail è possibile perché il Simple Mail Transfer Protocol (SMTP) non fornisce un meccanismo per l'autenticazione degli indirizzi. Sebbene siano stati sviluppati protocolli e meccanismi di autenticazione degli indirizzi e-mail per combattere il spoofing delle e-mail, l'adozione di tali meccanismi è stata lenta.

Il processo di spoofing delle e-mail coinvolge tipicamente i seguenti passaggi:

1. L'attaccante crea un'e-mail con un indirizzo del mittente falsificato.
2. Utilizzano un server SMTP che non richiede autenticazione oppure il proprio server SMTP.
3. L'e-mail viene inviata tramite questo server, che non verifica l'autenticità dell'indirizzo del mittente.
4. Il server ricevente elabora l'e-mail sulla base delle informazioni negli header, che appaiono legittime.

Sebbene i protocolli di autenticazione come SPF, DKIM e DMARC siano stati sviluppati per prevenire lo spoofing, la loro adozione è stata graduale. Questi protocolli funzionano consentendo ai proprietari dei domini di specificare quali server di posta sono autorizzati a inviare e-mail per loro conto e fornendo firme crittografiche per verificare l'identità del mittente.

Esempio: Supponiamo che uno spoofer di e-mail voglia assumere l'identità di una banca. Potrebbe creare un'e-mail con le seguenti informazioni di intestazione:

Testo

Da: customerservice@legitbank.com
A: victim@email.com
Oggetto: Urgente: Aggiornamento sicurezza account

L'hacker invia quindi questa e-mail tramite un server SMTP che non autentica il mittente. Quando la vittima riceve l'e-mail, sembra provenire dal servizio clienti della propria banca. Il messaggio potrebbe contenere un link di phishing o richiedere informazioni sensibili, sfruttando la fiducia associata all'indirizzo falsificato.

Per proteggersi da tali scenari, i provider di e-mail e le organizzazioni stanno implementando sempre più protocolli di autenticazione. Tuttavia, l'efficacia di queste misure dipende dall'adozione diffusa e dalla corretta configurazione. Gli utenti possono proteggersi prestando attenzione alle e-mail inaspettate, verificando gli indirizzi dei mittenti e non cliccando su link o allegati sospetti.

 

Sebbene sia utilizzato più frequentemente per scopi di phishing, ci sono in realtà diversi motivi per l'impersonificazione degli indirizzi del mittente. Questi includono:

• Nascondere la vera identità del mittente. Tuttavia, se questo è l'unico obiettivo, può essere raggiunto più facilmente registrando indirizzi e-mail anonimi.
• Evitare le liste di blocco dello spam. Se un mittente sta effettuando spam, verrà bloccato rapidamente. Una soluzione semplice a questo problema è falsificare gli indirizzi e-mail.
• Fingere di essere qualcuno che il destinatario conosce. Un attaccante potrebbe farlo per sfruttare la fiducia della vittima in un conoscente e chiedere informazioni sensibili o accesso a beni personali.
• Fingendo di essere un'azienda con cui il destinatario ha una relazione. L'obiettivo qui è ottenere i dettagli di accesso bancari o altri dati personali.
• Offuscare l'immagine del mittente presunto. Questo potrebbe comportare un attacco al personaggio che dipinge il cosiddetto mittente in una cattiva luce.
• Commettere furto d'identità. Un esempio potrebbe essere una richiesta di informazioni dai conti finanziari o sanitari della vittima.

Ecco un elenco di caratteristiche che possono indicare che hai ricevuto un'e-mail di spoofing:

• Indirizzo email del mittente sospetto che non corrisponde all'identità dichiarata (ad esempio, un'email che afferma di provenire da Venmo con un indirizzo di venmo_security@outlook.com invece di un dominio legittimo di Venmo)
• Nome visualizzato non coerente con l'indirizzo email effettivo (ad esempio, un'email da “Jonathan Simpson” proveniente da un indirizzo email di bill.smith@gmail.com)
• Linguaggio urgente o minaccioso che crea un senso di pressione
• Richieste di informazioni sensibili come password o dettagli finanziari
• Allegati o link inaspettati
• CloudGen Firewall per AWS
• Saluti generici invece di quelli personalizzati (ad esempio, "Gentile Cliente" o "Gentile Utente")
• Loghi e marchi non corrispondenti o errati
• Orari di invio insoliti, soprattutto se al di fuori dell'orario lavorativo
• Richieste di aggirare le normali procedure di sicurezza
• Incoerenze con comunicazioni precedenti dal presunto mittente
• Intestazioni e-mail che mostrano informazioni di instradamento inaspettate (ad esempio, intestazioni che mostrano che l'e-mail è stata instradata attraverso più paesi, anche se il mittente è presumibilmente locale)
• Link che, quando vi si passa sopra col mouse, rivelano URL sospetti (ad esempio, domini con errori di ortografia o URL lunghi eccessivamente complessi)
• L'uso di domini email pubblici (ad esempio, gmail.com) per comunicazioni aziendali ufficiali

Poiché il protocollo e-mail SMTP non ha autenticazione, è stato storicamente facile falsificare l'indirizzo del mittente. Di conseguenza, la maggior parte dei provider di posta elettronica è diventata esperta nel rilevare e avvisare gli utenti dello spam piuttosto che rifiutarlo del tutto.

Altre protezioni includono i framework precedentemente menzionati che facilitano l'autenticazione dei messaggi in arrivo:

• SPF (Sender Policy Framework): Questo aiuta a combattere il domain spoofing verificando se un certo IP può inviare email da un determinato dominio. SPF può portare a falsi positivi, ma richiede comunque al server ricevente di controllare un record SPF e convalidare il mittente dell'email.
• DKIM (Domain Key Identified Mail): Questo metodo utilizza una coppia di chiavi crittografiche per firmare i messaggi in uscita e convalidare i messaggi in entrata. Tuttavia, poiché DKIM viene utilizzato solo per firmare parti specifiche di un messaggio, il messaggio può essere inoltrato senza compromettere la validità della firma. Questa tecnica viene definita "attacco di replay."
• DMARC (Domain-Based Message Authentication, Reporting, and Conformance): Questo metodo offre al mittente la possibilità di informare il destinatario se la sua email è protetta da SPF o DKIM, e quali azioni intraprendere quando si gestisce la posta che non supera l'autenticazione. DMARC non è ancora ampiamente utilizzato.

Il phishing via e-mail non è sempre facile da individuare. Ma, con la formazione adeguata per identificare le e-mail di spoofing e comprendere le sfumature della sicurezza e-mail, le organizzazioni possono proteggere la loro infrastruttura digitale e i dati preziosi da questo popolare vettore di attacco.

Non sai da dove cominciare? Non fa mai male chiedere consiglio agli esperti di sicurezza e-mail. Lascia che il team Barracuda metta a frutto la nostra conoscenza approfondita della sicurezza informatica per te. Pianifica oggi la tua demo di Protezione dell'e-mail e lascia che ti guidiamo verso comunicazioni più sicure.