La posta elettronica è il mezzo più utilizzato dalle persone per scambiare informazioni. Per questo oggi è il tallone di Achille della sicurezza informatica. Come proteggersi?
Email spoofing tra le vulnerabilità della sicurezza aziendale più frequenti. Al centro degli attacchi la posta elettronica. Considerando come per il 99% delle aziende oggi l’email risulti lo strumento principale per scambiare informazioni, è chiaro l’obiettivo degli hacker (Fonte: Condivisione e collaborazione nelle aziende italiane, Research Report 2016 – NetworkDigital360).
Scambio di contenuti/informazioni in azienda (giugno 2016)
Fonte: Condivisione e collaborazione nelle aziende italiane – Top Consult Srl.
Sulla base dell’analisi di un campione di oltre mezzo miliardo di email del primo semestre 2018, gli analisti hanno rilevato come meno di un terzo (32%) del traffico email visto nella prima metà dell’anno, è stato considerato “pulito” e consegnato ad una casella di posta elettronica. In sintesi, 1 email ogni 101 aveva un intento dannoso (Fonte: Email Threat Report 2018 – FireEye).
Che cosa si intende con email spoofing?
Sinteticamente lo spoof delle email è una tecnica di falsificazione del mittente e consiste nella creazione di mail con indirizzo del mittente contraffatto al fine di ingannare il destinatario circa l’origine del messaggio stesso.
L’email spoofing, dunque, rientra nelle logiche dell’email spam e del phishing. Di per sé non è un’attività malevola, in quanto ci sono alcuni servizi (ad esempio servizi SaaS di mailing come MailChimp) che è corretto che inviino email con il dominio dell’azienda.
Email spoofing: un esempio corretto
Prendiamo in esame il mailing relativo all’evento di CyberSecurity che terremo a fine settembre.
Noteremo che il mittente è noreply@guttadauro.it.
![Email evento "Cyber security a tutta birra"](http://web.guttadauro.it/wp-content/uploads/2018/09/email-evento.cyber-security-a-tutta-birra.png "Email evento "Cyber security a tutta birra"")
Email evento “Cyber security a tutta birra”
Analizzando l’intestazione del messaggio, si evince che il vero mittente sia un server di posta di MailChimp, autorizzato dal dominio guttadauro.it come attendibile.
In molti altri casi però tale tecnica viene utilizzata in maniera impropria con l’obiettivo di rubare dati sensibili (phishing) e per cifrare in maniera malevola i dati (ransomware).
Sono un esempio le email provenienti da SDA, Telecom, ma ora anche Amazon, Netflix, Office 365 con cui si chiede di ritirare un pacco o di pagare una bolletta.
Qual è la differenza tra phishing e ransomware?
Sia i tentativi di phishing sia quelli di ransomware producono email fraudolente con l’obiettivo di arrecare un danno. Quali sono le differenze?
Il phishing è una tecnica che mira a rubare dati sensibili (password, dati bancari e via dicendo) in modo da poterli usare in maniera malevola (utilizzo carta di credito su web, credenziali per accesso al conto corrente, dati personali e così via). Per omofonia al termine fishing con questa tecnica si intende lanciare un’esca in modo che la persona abbocchi. I dati indicano che gli attacchi di phishing continueranno a crescere. Dato che una sola email può avere un potenziale impatto su un’intera organizzazione, la protezione di questi dati deve essere presa sul serio.
Dei ransomware abbiamo già parlato in un precedente articolo. Questa tecnica, che mira a rendere inutilizzabili i propri dati, chiede all’utente un riscatto (da qua il nome) per potervi riaccedere. Questo è possibile mediante la cifratura degli stessi dati che impedisce ad una persona di poterli leggere senza la conoscenza della chiave di accesso.
Fino a qualche anno fa entrambe le tipologie di email riportavano come mittente un indirizzo email reale, ma con diversi errori grammaticali nel corpo del messaggio. Ad una lettura attenta veniva il dubbio che l’email non fosse attendibile e pertanto gli attacchi erano rari. Oggi però i meccanismi di attacco sono sempre più sofisticati e molte volte non basta più un occhio attento per capire se l’email sia attendibile o meno.
Esistono dei meccanismi di difesa dagli attacchi phishing e/o ransomware?
Fortunatamente sì e consentono di ridurre al minimo la probabilità di ricevere questi tipi di email.
All’oggi i meccanismi di difesa fanno leva su tre protocolli di autenticazione quali:
- Sender Policy Framework (SPF), un meccanismo che controlla se l’email sia stata inviata da un server autorizzato a farlo.
- DomainKeys Identified Mail (DKIM), un sistema basato sullo scambio di chiavi di cifratura che certifica che l’email non sia stata manomessa durante il transito.
- Domain-based Message Authentication, Reporting, and Conformance (DMARC), una soluzione che lavora assieme a SPF e DKIM e serve per validare il campo from all’interno dell’intestazione del messaggio.
Come sottolineano gli esperti, è importante che questi meccanismi di difesa vengono eseguiti solo dal server di posta del destinatario (cioè da chi riceve le email). Ciò significa che se un server di posta non esegue questi controlli non avrà alcun beneficio da eventuali meccanismi anti-spoofing implementati dal mittente.
Protezione anti-spoofing su Office 365
La buona notizia per gli utenti di MS Office 365 è che il sistema supporta tutti e tre i meccanismi succitati.
