Individuare e prevenire gli attacchi di email spoofing

Email Spoofing blog banner

Ora che la maggior parte delle persone conosce e riesce a evitare gli attacchi di phishing standard, i malintenzionati sono passati a qualcosa di più insidioso. L’ email spoofing è un attacco in cui gli aggressori impersonano qualcuno che l’obiettivo conosce, ed è un modo molto più sottile per cercare di ottenere delle credenziali o di compromettere il dispositivo di un utente. Come nel caso del phishing, tuttavia, una volta che si conoscono i segnali di un’e-mail spoofed e si istruiscono gli altri utenti su come individuarli, affrontare il problema è spesso semplice.

Che cos’è l’ email spoofing?

L’email spoofing avviene quando un aggressore invia un’e-mail a un utente spacciandosi per qualcun altro, generalmente qualcuno che l’utente conosce. Spesso il malintenzionato proverà a spacciarsi per un supervisore, un manager o un dirigente della stessa azienda. Grazie agli header dei messaggi di posta elettronica, il software di posta elettronica dell’utente visualizza un indirizzo e-mail che sembra legittimo almeno agli occhi di un utente medio, che difficilmente osserverà attentamente l’indirizzo se il nome gli è familiare.  Poiché gli utenti si fidano delle persone all’interno delle loro organizzazioni, è molto probabile che seguano istruzioni ricevute nell’e-mail e che svolgano l’operazione richiesta. Potrebbe trattarsi semplicemente di cliccare su un link malevolo che installa un malware, oppure di acquistare centinaia di dollari in gift card e inviarle a un certo indirizzo. Sebbene sia simile al phishing, i due attacchi sono distinti. Anche le e-mail di phishing mirano a diffondere malware o a compromettere gli utenti, ma il loro scopo principale è il furto. Le email di spoofing, invece, sono messaggi inviati impersonando qualcun altro, che possono portare ad attacchi di phishing. Gli attacchi di spoofing via e-mail possono anche prevedere la richiesta delle credenziali dell’utente e, se queste vengono davvero condivise, la sicurezza e i dati dell’organizzazione sono a rischio. 

Come funziona l’email spoofing?

Gli aggressori sono in grado di falsificare gli indirizzi e-mail a causa delle mancanze in termini di sicurezza del Simple Mail Transfer Protocol (SMTP), che non supporta la crittografia, l’autenticazione o altre misure di sicurezza simili. Se utilizzi Gmail o Outlook, per esempio, stai usando il protocollo SMTP, e per un aggressore non è complicato trovare e compromettere un server SMTP. Una volta ottenuto il controllo sul server, l’aggressore potrà modificare l’intestazione (header) di un’e-mail.  Nell’header è presente uno spazio dedicato all’identità del mittente (Mail From). Poiché l’SMTP non dispone di protocolli di autenticazione, un malintenzionato può facilmente modificare l’indirizzo e-mail indicato nella riga “Da” della posta. L’aggressore deve tenere conto di alcuni dettagli, come per esempio se il dominio utilizzato è legittimo, se esiste una quarantena o un’altra protezione intorno a quel dominio e se il server SMTP è stato configurato correttamente. Se non si tiene conto di questi aspetti, l’e-mail finirà nella cartella spam della vittima. Tuttavia, supponendo che l’aggressore disponga di un server correttamente configurato e scelga un dominio utilizzabile, il processo è semplice. Il malintenzionato dunque cambia l’indirizzo del mittente, scrive un’e-mail che sembra provenire da una persona affidabile, si assicura che tutti i comandi o le richieste nel codice siano stati adattati al nuovo indirizzo del mittente (o usa semplicemente uno strumento online, se vuole davvero semplificarsi la vita) e così il tentativo di spoofing delle e-mail ha inizio.

Come identificare le e-mail contraffatte

Dato che questi schemi di email spoofing sono così semplici, non sorprende che la loro frequenza sia in aumento. Per combattere questi attacchi, una delle cose migliori che puoi fare è imparare a identificarli e insegnare agli utenti che lavorano negli ambienti che gestisci ad affrontarli. Ecco alcuni elementi da tenere in considerazione quando apri le e-mail.

  • Precisione della firma e-mail: Se la politica aziendale prevede una firma specifica per le e-mail, un’e-mail proveniente da un altro dipendente o da un supervisore dovrebbe averne una. Innanzitutto, verifica la presenza di una firma, quindi fai attenzione ai dettagli per avere una conferma della sua legittimità. Per esempio, assicurati che l’indirizzo e-mail della firma corrisponda all’indirizzo e-mail della riga “Da” e controlla il prefisso del numero di telefono. Se i tuoi uffici si trovano tutti in un luogo ma il numero di telefono ha un prefisso di una diversa area geografica, questo potrebbe essere un segnale di allarme. 
  • Indirizzo e-mail con errori di battitura: Prima di cliccare sugli allegati o di rispondere all’e-mail, dai una rapida occhiata alla riga “Da” della mail. Se un dominio noto come bestbuy.com viene invece digitato come betsbuy.com, allora si tratta di un’e-mail di spoofing. 
  • Indirizzo e-mail generico: Sebbene molti attacchi spoofing via e-mail abbiano domini legittimi nei loro indirizzi di posta elettronica, a volte il mittente non ha tempo o non si impegna per personalizzarli. Quindi potrebbe capitare di ricevere un’e-mail da un dominio Gmail, Outlook o da un altro dominio generico che chiaramente non corrisponde al dominio o alle regole della vostra organizzazione.
  • Contenuto dell’e-mail: Anche se non tutte le e-mail urgenti sono spoofed, un’e-mail che tenta di allarmare l’utente o che lo incoraggia ad agire immediatamente dovrebbe essere considerata sospetta. 

Implicazioni e rischi dello email spoofing

Il problema dello email spoofing è che è molto facile da mettere in atto per gli aggressori e molto convincente agli occhi di un utente medio. Se non affronti il problema, la tua organizzazione si troverà a fare i conti molto rapidamente con un incidente di sicurezza che potrebbe essere molto costoso.  La tua organizzazione potrebbe finire per pagare ingenti somme di denaro ai criminali, pensando che le richieste da loro avanzate siano invece legittime. Se un dipendente fornisce le sue credenziali a un malintenzionato, i dati privati dell’organizzazione sono a rischio. Gli utenti, siano essi clienti o dipendenti, corrono un rischio maggiore di furto d’identità e di perdite finanziarie dopo una violazione da parte di un malintenzionato. 

Tecniche di prevenzione dello email spoofing

È importante istruire gli utenti su come evitare le e-mail contraffatte, ma di solito questo non è sufficiente a proteggere l’organizzazione. L’errore umano è alla base della stragrande maggioranza degli incidenti di sicurezza segnalati, pertanto le seguenti misure preventive potrebbero essere necessarie per limitare il rischio di un attacco riuscito. 

  • SPF (Sender Policy Framework): L’SPF non è la soluzione più sofisticata, ma è un buon inizio per filtrare le e-mail non legittime. Funziona utilizzando un record dns che viene allegato alle e-mail e identifica i server autorizzati del vostro dominio. Il server ricevente deve quindi determinare, sulla base di questo record, se l’e-mail può essere autorizzata a passare.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance): Più completo dell’SPF, il DMARC fornisce sia un record che il server ricevente può analizzare, sia istruzioni su come comportarsi se l’e-mail non viene accettata dal server ricevente. Richiede anche dei report, una funzione utile se vuoi conoscere più informazioni sulle e-mail che passano attraverso i tuoi server. 
  • DKIM (DomainKeys Identified Mail): DKIM si concentra sull’autenticazione. La buona notizia è che è più sicuro di altre opzioni; la cattiva notizia è che potresti danneggiare il flusso corretto di posta elettronica configurando DKIM in modo errato. Anche questo metodo di prevenzione richiede record, ma utilizza anche le firme per verificare la legittimità. 
  • Filtro e-mail e protezione avanzata dalle minacce: Un’altra buona misura preventiva è l’implementazione di soluzioni di filtraggio delle e-mail per rilevare e bloccare i messaggi di posta elettronica contraffatti. I filtri rilevano elementi quali link sospetti, parole o frasi particolari comuni nelle mail di spam, e anche la reputazione dell’indirizzo IP del mittente. Una volta rilevato qualcosa che non va, il filtro sposta l’e-mail in una cartella separata per indicare che potrebbe non essere legittima. Inoltre, l’implementazione della protezione avanzata dalle minacce, che è un’applicazione cloud-based più sensibile di un filtro tradizionale, può ridurre ulteriormente il numero di e-mail non leggitime che tu e gli altri dipendenti ricevete. 

Evitare i pericoli dello spoofing

Come per la maggior parte delle cose nell’IT, un piccolo sforzo di prevenzione produce un grande risultato. Tutto ciò che puoi fare per ridurre il rischio di email spoofing e i probabili attacchi di phishing che ne derivano ti farà risparmiare tempo e denaro nel lungo periodo. Non mettere a rischio la salute finanziaria della tua organizzazione o le informazioni private dei tuoi clienti. Utilizza metodi di prevenzione come il filtraggio, la protezione avanzata, SPF, DKIM e DMARC per garantire una solida sicurezza delle e-mail e per proteggerti dalle e-mail contraffatte. In definitiva, il modo migliore per prevenire l’ email spoofingè la consapevolezza. Sebbene i metodi di prevenzione siano utili, alcune e-mail di spoofing possono comunque raggiungere i tuoi utenti. Se i team dell’organizzazione sono consapevoli delle minacce e sanno cosa cercare, potranno adottare misure per evitare e prevenire attivamente i rischi per la sicurezza, garantendo così che l’organizzazione e i suoi dati rimangano al sicuro.

Passi successivi

Le basi della sicurezza dei dispositivi sono fondamentali per lo stato della tua sicurezza complessiva. NinjaOne semplifica l’applicazione di patch, l’hardening, la protezione e il backup di tutti i dispositivi in modo centralizzato, da remoto e su larga scala.

Ti potrebbe interessare anche

Vuoi diventare un Ninja dell’IT?

Scopri come NinjaOne può aiutarti a semplificare le operazioni IT.
Guarda una demo×
×

Guarda NinjaOne in azione!

Inviando questo modulo, accetto La politica sulla privacy di NinjaOne.

Inizia una prova gratuita della piattaforma RMM numero 1 su G2

Non è richiesta alcuna carta di credito e si ha accesso completo a tutte le funzionalità.

Termini e condizioni NinjaOne

Cliccando sul pulsante “Accetto” qui sotto, dichiari di accettare i seguenti termini legali e le nostre condizioni d’uso:

  • Diritti di proprietà: NinjaOne possiede e continuerà a possedere tutti i diritti, i titoli e gli interessi relativi allo script (compreso il copyright). NinjaOne ti concede una licenza limitata per l’utilizzo dello script in conformità con i presenti termini legali.
  • Limitazione d’uso: Puoi utilizzare lo script solo per legittimi scopi personali o aziendali interni e non puoi condividere lo script con altri soggetti.
  • Divieto di ripubblicazione: In nessun caso ti è consentito ripubblicare lo script in una libreria di script appartenente o sotto il controllo di un altro fornitore di software.
  • Esclusione di garanzia: Lo script viene fornito “così com’è” e “come disponibile”, senza garanzie di alcun tipo. NinjaOne non promette né garantisce che lo script sia privo di difetti o che soddisfi le tue esigenze o aspettative specifiche.
  • Assunzione del rischio: L’uso che farai dello script è da intendersi a tuo rischio. Riconosci che l’utilizzo dello script comporta alcuni rischi intrinseci, che comprendi e sei pronto ad assumerti.
  • Rinuncia e liberatoria: Non riterrai NinjaOne responsabile di eventuali conseguenze negative o indesiderate derivanti dall’uso dello script e rinuncerai a qualsiasi diritto legale o di equità e a qualsiasi rivalsa nei confronti di NinjaOne in relazione all’uso dello script.
  • EULA: Se sei un cliente NinjaOne, l’uso dello script è soggetto al Contratto di licenza con l’utente finale (EULA) applicabile.