Come sapere se un’e-mail è stata falsificata?

Mail_Authentication

Written by Domenico Panetta

29/09/2020

Lo spoofing delle e-mail, è la creazione di e-mail con un indirizzo mittente contraffatto per indurre il destinatario a fornire denaro o informazioni sensibili. Se la tua organizzazione utilizza un dominio registrato per la posta elettronica, è probabile che tu ne abbia viste alcune nella tua casella di posta. È anche probabile che la maggior parte, se non tutte, fossero semplicemente una truffa di phishing. Come sapere quindi, se un’e-mail è stata falsificata?

 

Il tuo account è stato violato o falsificato?

Il timore iniziale in queste circostanze è che l’account del mittente sia stato violato. Se il tuo account è stato compromesso, un utente malintenzionato potrebbe utilizzarlo per avviare attacchi social media contro i tuoi colleghi e i contatti e-mail, oppure potrebbe essere utilizzato come account di spamming, il che influirebbe negativamente sulla reputazione del tuo dominio di posta elettronica. La buona notizia è che gli account di posta elettronica vengono raramente violati. La maggior parte di questi eventi è dovuta allo spoofing della posta elettronica.

Lo spoofing consiste nel far sembrare che l’email provenga da un mittente di cui ti fidi, incluso te stesso. In realtà, l’email proviene da una fonte esterna che potrebbe trovarsi dall’altra parte del mondo. Sfortunatamente, oggi è facile falsificare un account di posta elettronica. Qualsiasi server di posta elettronica può essere configurato per inviare posta da qualsiasi dominio, da qualcuno con le conoscenze giuste. Anche se non disponi dell’attrezzatura o del know-how, esistono siti Web che ti consentono di inviare e-mail una tantum utilizzando l’indirizzo e-mail di tua scelta. Tutto questo è possibile perché il protocollo di posta elettronica rende possibile lo spoofing grazie al suo stesso design, perché la sicurezza non era integrata nel protocollo di posta elettronica quando è stato creato nel 1971.

 

Verifica dell’origine di un’e-mail

Una buona regola oggi per le email che ti chiedono di “fare qualcosa” è non fare affidamento solo sul nome visualizzato. Ad esempio, il nome del mittente potrebbe essere PayPal ma l’indirizzo email è in realtà paypal@eydh12.com. Se un’email proviene da una fonte attendibile all’interno della tua azienda, una rapida occhiata alla firma dell’email potrebbe essere una chiara indicazione che l’email non proviene da quella persona. Le firme di posta elettronica contraffatte spesso contengono numeri di telefono fasulli che non hanno alcuna correlazione con la tua azienda o mancano del logo aziendale obbligatorio, è possibile anche verificare i dettagli e controllare i campi “A” e “Da” dell’email originale nel corpo.

Sebbene la verifica dell’indirizzo email corretto ti consentirà di discernere correttamente se un’email è stata falsificata, la maggior parte delle volte non è infallibile. L’unico modo per sapere con assoluta certezza da dove proviene un’e-mail è esaminare l’header (intestazione) dell’e-mail. Ogni applicazione di posta elettronica ha un modo diverso per accedere all’header:

  • Per Office 365, apri l’e-mail e fai clic sul Menu Azione contenuto nell’e-mail e seleziona “Visualizza dettagli messaggio”.
  • Per Gmail, apri l’email e fai clic sui tre punti verticali accanto alla freccia di risposta e seleziona “Mostra originale”.
  • Per Outlook, apri l’email e vai su “File -> Proprietà” e visualizza “Intestazione Internet”.

Ci sono molte informazioni contenute nell’intestazione dell’e-mail, molte più di quelle che probabilmente vorresti sapere. Quando leggi l’intestazione di un’e-mail, i dati sono in ordine cronologico inverso. Ciò significa che le informazioni contenute in alto sono le più recenti. Per tracciare l’email dal mittente al destinatario, è necessario iniziare dal basso. Ci sono due campi molto importanti contenuti nell’intestazione completa.

 

Received:

Questa parte dell’intestazione elenca tutti i server e i computer utilizzati per inviare l’e-mail. Poiché andiamo dal basso verso l’alto, l’ultima riga “Received:” è l’origine dell’email. Questo dominio di posta elettronica deve corrispondere a quello visualizzato nell’email.

 

Received-SPF:

Il Sender Policy Framework (SPF) viene utilizzato dalle organizzazioni per specificare i server autorizzati a inviare e-mail per suo conto. La posta inviata dai server consentiti verrà visualizzata come “Pass” nel campo Received-SPF, che è un indicatore molto forte che l’email è legittima. Se i risultati mostrano “Fail” o “Softfail“, significa che l’email potrebbe essere falsificata. Tieni presente che questo non è vero il 100% delle volte, poiché alcuni domini non mantengono aggiornati i record SPF, con conseguenti errori di convalida.

 

Campi opzionali:

Per quelle organizzazioni che scelgono di utilizzare DKIM e DMARC, l’intestazione ha un altro campo per fornire indizi:

 

Authentication-Results:

Questo campo ti consente di sapere se l’email ha superato l’autenticazione DKIM o DMARC. Sebbene l’SPF possa essere aggirato tramite lo spoofing, DKIM e DMARC sono molto più affidabili.

I filtri e-mail che utilizzano le più recenti funzionalità di sicurezza anti-malware sono il modo principale con cui gli amministratori possono bloccare questi attacchi, arrivando alla radice del problema: le e-mail di phishing. Il blocco delle e-mail di phishing impedisce agli utenti di fare clic su collegamenti dannosi, quindi un amministratore non deve limitare la funzionalità di condivisione dei file. L’amministratore può invece interrompere l’attacco prima che raggiunga la “posta in arrivo” dell’utente.

 

Cos’è il DMARC (Domain-based Message Authentication)?

Le difese DMARC (Domain-based Message Authentication, Reporting e Conformance) bloccano le e-mail di phishing in base alle impostazioni dell’amministratore e a una serie di regole che sfruttano DNS e la crittografia con chiave pubblica e privata. Incorporare il Sender Policy Framework (SPF), che richiede una entry DNS dall’organizzazione, in modo che i server di posta elettronica del destinatario possano identificare se l’IP del mittente è autorizzato a inviare un’e-mail per conto del proprietario del dominio.

Anche il DomainKeys Identified Mail (DKIM) è incorporato nelle regole DMARC. DKIM aggiunge una firma di crittografia a chiave pubblica che può essere decrittografata solo dal server di posta elettronica dell’organizzazione che contiene la chiave privata. Aggiungendo una firma al messaggio di posta elettronica, l’organizzazione sa che solo i messaggi crittografati con la sua chiave pubblica sono destinati al destinatario. Insieme a SPF, questo framework di sicurezza blocca i messaggi contraffatti che potrebbero sembrare provenire da un mittente attendibile.

Gli attacchi OAuth sono comuni in natura e basta un solo errore dell’utente per consentire a un utente malintenzionato di accedere a un’unità cloud. Tramite DMARC e i filtri e-mail giusti, un’organizzazione può impedire a un utente malintenzionato di raggiungere la posta in arrivo di un utente mirato.

Vedi ancheAbilitazione e configurazione di DMARC in SpamTitan

Mail_Authentication

Nessuna azienda è immune dalla perdita di dati

I rischi derivanti da e-mail contraffatte e dannose sono molto maggiori oggi. Le persone possono perdere la sicurezza finanziaria a causa del furto di identità. I database delle organizzazioni possono essere estratti per numeri di previdenza sociale, informazioni sulla carta di credito, cartelle cliniche, numeri di conti bancari, ecc., Provocando miliardi di dollari di danni non solo all’organizzazione, ma anche alle persone le cui informazioni sono state rubate. Le piccole imprese sono spesso vittime di ingenti danni finanziari causati da e-mail dannose. Di solito non ne sentiamo parlare tanto quanto i grandi colossi di questo mondo.

 

Proteggersi dai tentativi di phishing utilizzando e-mail contraffatte

Nonostante sia relativamente facile proteggersi dalle e-mail contraffatte, è ancora una tecnica comune utilizzata da spammer e criminali informatici. Ci vuole un po’ di impegno, e quindi denaro, per combattere lo spoofing delle e-mail. Ho il sospetto che sia per questo che molte piccole aziende non prendono le necessarie precauzioni. La raccomandazione è piuttosto semplice:

  • Iscriviti a un servizio di filtro anti-spam altamente efficace e rivaluta la sua efficacia ogni anno.
  • Assegnare qualcuno (se non un dipendente, assumere una società di outsourcing IT) per monitorare e amministrare il sistema di posta elettronica, incluso il servizio di filtro antispam. Questo non è un compito banale poiché le funzionalità di posta elettronica cambiano, le nuove minacce si evolvono costantemente e gli indirizzi di posta elettronica sono in continuo mutamento a causa dei cambiamenti del personale.
  • Educare i dipendenti allo spoofing delle e-mail e ad altre tecniche utilizzate da spammer e criminali informatici. Istruiscili su cosa cercare durante la scansione della loro casella di posta in modo che possano identificare rapidamente potenziali email dannose. Fornisci loro una risorsa che possa aiutarli a decidere se non sono sicuri che un’email sia fasulla.

La posta elettronica è uno strumento di comunicazione aziendale necessario ed estremamente utile. Sfortunatamente, poiché è usato così tanto, lo rende un facile bersaglio per i criminali informatici. Per un utente di posta elettronica medio, nel migliore dei casi è un compito difficile individuare un messaggio di posta dannoso tra le centinaia o migliaia che si riversano nella sua casella di posta. Questo è il motivo per cui è così importante per le organizzazioni allocare risorse e fondi per proteggere il proprio personale e la propria organizzazione da tutte le minacce che possono arrivare come un messaggio dall’aspetto innocente di un amico.

Dal 1999 SpamTitan sviluppa threat intelligence per ridurre drasticamente il rischio di un attacco riuscito alla tua organizzazione. Con SpamTitan ridurrai notevolmente il rischio che nuove varianti di email dannose entrino nella tua rete.

Se stai cercando il miglior filtro antispam per utenti aziendali, assicurati di dare un’occhiata a SpamTitan, la principale soluzione antispam per PMI e aziende. Contatta oggi il team di DotForce per ulteriori informazioni e una dimostrazione del prodotto.

 

 

 

Geraldine Hunt
Geraldine Hunt

Senior Marketing Manager in TitanHQ

Professionista del marketing B2B basato sui dati con oltre 15 anni di esperienza nel settore IT e SaaS. Vasta esperienza nella gestione di campagne di marketing digitale che lavorano a livello globale attraverso il marketing mix. Altamente motivata, con un atteggiamento “si può fare” e la capacità di prendere rapidamente decisioni informate, lavorando in un ambiente complesso e frenetico. L’obiettivo principale in TitanHQ è lo sviluppo e la gestione della domanda e delle campagne di generazione di lead alimentate da contenuti eccellenti.

Potrebbero piacerti anche questi articoli…