Come capire se una mail ha subito spoofing

09/03/2022

L’email spoofing è la creazione di e-mail con un indirizzo mittente contraffatto, e ha l’obiettivo di indurre il destinatario a fornire denaro o informazioni sensibili. Se la tua azienda utilizza un dominio registrato per la propria e-mail, è probabile che tu ne abbia visti alcuni nella tua casella di posta. È anche probabile che la maggior parte, se non tutte, fosse semplicemente una truffa di phishing.

Il tuo account è stato violato (hacked) o falsificato (spoofed)?

Il timore iniziale in queste circostanze è che l’account del mittente sia stato violato. Se il tuo account fosse compromesso, un utente malintenzionato potrebbe utilizzarlo per implementare attacchi sui social media contro i tuoi colleghi, dipendenti e contatti e-mail. Oppure, potrebbe essere utilizzato come account di spamming, il che influirebbe negativamente sulla reputazione della tua posta elettronica. La buona notizia è che gli account di posta elettronica vengono raramente violati. La maggior parte di questi episodi è dovuta allo spoofing.

Lo spoofing consiste nel far sembrare che l’e-mail provenga da un mittente di cui ti fidi, incluso te stesso. In realtà, l’e-mail proviene da una fonte esterna che potrebbe trovarsi dall’altra parte del mondo. Sfortunatamente, oggi è facile falsificare un account di posta elettronica. Qualsiasi server di posta elettronica può essere configurato per inviare posta da un determinato dominio, ovviamente da qualcuno che ne possieda le competenze necessarie. Anche se non si possiede questo know-how, ci sono siti Web che permettono di inviare e-mail una tantum utilizzando un indirizzo e-mail a scelta. Tutto questo è possibile perché, per il suo stesso design, il protocollo di posta elettronica rende possibile lo spoofing. Infatti, la sicurezza non era integrata nel protocollo di posta elettronica quando questo è stato creato.

Verificare l’Origine di una e-mail

Una buona regola oggi per le email che ti chiedono di “fare qualcosa” è di non fare affidamento solo sul nome visualizzato. Ad esempio, il nome del mittente potrebbe essere PayPal ma l’indirizzo e-mail è paypal@eydh12.com. Se un’e-mail proviene da una fonte attendibile all’interno della tua azienda, una rapida occhiata alla loro firma e-mail potrebbe essere una chiara indicazione che l’e-mail non proviene da quella persona. Le firme e-mail contraffatte spesso contengono numeri di telefono fasulli che non hanno alcuna correlazione con la tua azienda, o mancano del logo aziendale obbligatorio. Puoi anche fare clic sul pulsante Avanti che mostrerà quindi i campi “A” e “Da” dell’e-mail originale nel corpo.

Sebbene la verifica dell’indirizzo e-mail corretto ti consentirà di discernere correttamente se un’e-mail è stata falsificata per la maggior parte del tempo, non è infallibile. L’unico modo per sapere con certezza da dove proviene un’e-mail è esaminare l’intestazione (header) dell’e-mail. Ogni applicazione di posta elettronica ha un modo diverso per accedere all’intestazione.

  • Per Office 365, apri l’e-mail e fai clic sul menu Azione contenuto nell’e-mail e seleziona “Visualizza dettagli messaggio”
  • Per Gmail, apri l’e-mail e fai clic sui tre punti verticali accanto alla freccia di risposta e seleziona “Mostra originale”.
  • Per Outlook, apri l’e-mail e vai su File – Proprietà e visualizza “Intestazione Internet”.

Ci sono molte informazioni contenute nell’intestazione dell’e-mail, molte più di quelle che probabilmente vorresti sapere. Quando leggi l’intestazione di un’e-mail, i dati sono in ordine cronologico inverso. Ciò significa che le informazioni contenute in alto sono le più recenti. Per tracciare l’e-mail dal mittente al destinatario, devi iniziare dal basso. Ci sono due campi molto importanti contenuti nell’intestazione completa.

Ricevuto (received):
Questa parte dell’intestazione elenca tutti i server e i computer utilizzati per inviare l’e-mail. Poiché andiamo dal basso verso l’alto, l’ultima riga “Ricevuto:” è il punto in cui ha avuto origine l’e-mail. Questo dominio e-mail deve corrispondere a quello visualizzato nell’e-mail.

Ricevuto-SPF:
Il Sender Policy Framework (SPF) viene utilizzato dalle organizzazioni per specificare quali server sono autorizzati a inviare e-mail per suo conto. La posta inviata dai server consentiti verrà visualizzata come “Passato” – “Pass” nel campo SPF ricevuto, che è un indicatore molto forte del fatto che l’e-mail è legittima. Se i risultati mostrano “Fail” o “Softfail”, è un’indicazione che l’e-mail potrebbe essere contraffatta. Tieni presente che questo non è vero il 100 percento delle volte poiché alcuni domini non mantengono aggiornati i record SPF, con conseguenti errori di convalida.

Campi opzionali: per quelle organizzazioni che scelgono di utilizzare DKIM e DMARC, l’intestazione ha un altro campo per fornire indizi:

Risultati dell’autenticazione (Authentication-Results)
Questo campo ti consentirà di sapere se l’e-mail ha superato l’autenticazione DKIM o DMARC. Mentre SPF può essere aggirato tramite spoofing, DKIM e DMARC sono molto più affidabili.

I filtri e-mail che utilizzano le più recenti funzionalità di sicurezza anti-malware sono il modo principale con cui gli amministratori possono bloccare questi attacchi, andando alla radice del problema: le e-mail di phishing. Il blocco delle e-mail di phishing impedisce agli utenti di fare clic su collegamenti dannosi, quindi un amministratore non deve limitare la funzionalità di condivisione dei file. Invece, l’amministratore può fermare l’attacco prima che raggiunga la posta in arrivo dell’utente.

Che cos’è DMARC (Domain-based Message Authentication – Autenticazione dei messaggi basata sul dominio)?

Le difese DMARC (Domain-based Message Authentication, Reporting, and Conformance) bloccano le e-mail di phishing in base alle impostazioni dell’amministratore e a un insieme di regole che sfruttano il DNS e la crittografia a chiave pubblica-privata. DMARC comprende il Sender Policy Framework (SPF), che richiede una voce DNS dall’organizzazione in modo che i server di posta elettronica del destinatario possano identificare se l’IP del mittente è autorizzato a inviare un’e-mail per conto del proprietario del dominio.

Anche DomainKeys Identified Mail (DKIM) è compreso nelle regole DMARC. Il DKIM aggiunge una firma di crittografia a chiave pubblica che può essere decrittografata solo dal server di posta elettronica dell’organizzazione che contiene la chiave privata. Aggiungendo una firma al messaggio di posta elettronica, l’organizzazione sa che solo i messaggi crittografati con la sua chiave pubblica sono destinati al destinatario. Insieme a SPF, questo framework di sicurezza blocca i messaggi contraffatti che potrebbero sembrare provenienti da un mittente attendibile.

Gli attacchi OAuth sono comuni in natura e basta un solo errore dell’utente per consentire a un utente malintenzionato di accedere a un’unità cloud. Con DMARC e i giusti filtri e-mail, un’organizzazione può impedire a un utente malintenzionato di raggiungere la casella di posta di un utente mirato.

Articolo correlato Abilitare e configurare DMARC in SpamTitan

Nessuna azienda è immune dalla perdita di dati

I rischi derivanti da e-mail contraffatte e dannose sono oggi molto maggiori. Gli individui possono perdere la stabilità finanziaria a causa del furto di identità. I database delle organizzazioni possono essere estratti per numeri di previdenza sociale, informazioni sulla carta di credito, cartelle cliniche, numeri di conto bancario, ecc. Con conseguenti danni ingenti non solo all’organizzazione, ma anche alle persone le cui informazioni sono state rubate. Non solo le grandi organizzazioni, ma anche le piccole imprese sono spesso vittime di significativi danni finanziari causati da e-mail dannose.

Rimanere protetti dai tentativi di phishing tramite e-mail contraffatte

Nonostante sia relativamente facile proteggersi dalle e-mail contraffatte, questa è ancora una tecnica molto frequente e comune utilizzata da spammer e criminali informatici. Ci vuole un certo sforzo, e quindi denaro, per combattere lo spoofing delle e-mail. Probabilmente è per questo motivo che molte medie e piccole aziende non prendono le precauzioni necessarie. Le nostre raccomandazioni sono piuttosto semplici:

Iscriviti a un servizio di filtro antispam altamente professionale, rivalutandone l’efficacia ogni anno.
Assegna qualcuno (se non un dipendente, impiega una società di outsourcing IT) per monitorare e amministrare il sistema di posta elettronica, incluso il servizio di filtro antispam. Questo non è un compito banale in quanto le funzionalità e-mail cambiano, le nuove minacce si evolvono costantemente e gli indirizzi e-mail cambiano frequentemente a causa dei cambiamenti del personale.

Educa i dipendenti allo spoofing delle e-mail e ad altre tecniche utilizzate da spammer e criminali informatici.
Informali su cosa cercare durante la scansione della posta in arrivo in modo che possano identificare rapidamente potenziali e-mail dannose. Fornisci loro una risorsa che possa aiutarli a decidere se non sono sicuri che un’e-mail sia falsa.

La posta elettronica è uno strumento di comunicazione aziendale necessario ed estremamente utile. Sfortunatamente, poiché viene utilizzato così tanto, è un facile bersaglio per i criminali informatici. Per un utente medio di posta elettronica è un compito difficile nella migliore delle ipotesi individuare un’e-mail dannosa tra le centinaia o migliaia che si riversano nella loro casella di posta. Ecco perché è così importante per le organizzazioni allocare risorse e fondi per proteggere il proprio personale e la propria organizzazione da tutte le minacce che potrebbero arrivare come un messaggio dall’aspetto innocente da parte di un amico.

Dal 1999 SpamTitan ha sviluppato informazioni sulle minacce (threat intelligence) per ridurre drasticamente i rischi e i danni provocati da un attacco riuscito alla tua organizzazione. Con SpamTitan ridurrai significativamente il rischio che nuove varianti di email dannose entrino nella tua rete.

Se stai cercando il miglior filtro antispam per gli utenti aziendali, dai un’occhiata a SpamTitan, la soluzione antispam leader per PMI, MSP e scuole.

PUBBLICATO DA:<br>Fabrizio Bressani
PUBBLICATO DA:
Fabrizio Bressani
Managing Director, DotForce

ARTICOLI CORRELATI

Superare la crescente minaccia del session hijacking

Superare la crescente minaccia del session hijacking

Le passkey e l'autenticazione a più fattori non sono sufficienti per combattere il malware infostealer, che può esfiltrare i dati aziendali prima che qualcuno si accorga dell'attacco. Di Trevor Hilligoss, Direttore senior della ricerca sulla sicurezza, SpyCloud Dalle...