Tipi di spoofing, ovvero come i criminali informatici si nascondono nelle e-mail

Nicolás Bruna Blog Nessun commento

Tipi di spoofing, ovvero come i criminali informatici si nascondono nelle e-mail

Proprio come accade per la posta tradizionale, anche le e-mail sono composte da una “busta” e da un contenuto.

Tuttavia, i client di posta elettronica mostrano generalmente solo le informazioni contenute nel messaggio, nascondendo i dati della busta tra le opzioni avanzate.

Le informazioni contenute nella busta servono al servizio postale – o al server SMTP – per recapitare il messaggio al destinatario corretto, senza dover aprire il contenuto. Inoltre, permettono di inviare al mittente notifiche nel caso in cui il messaggio non possa essere recapitato.

Sebbene per l’utente finale questi dati non siano visibili di default, è importante sapere che la busta e il contenuto possono riportare mittenti diversi.

Questo apre la porta a vari tipi di spoofing, ovvero tecniche di falsificazione dell’identità. I criminali informatici manipolano le stringhe presenti nel FROM Header delle e-mail per ingannare i destinatari e raggiungere i propri obiettivi fraudolenti. Farlo è estremamente semplice e del tutto consentito dal protocollo SMTP: basta specificare la stringa desiderata al momento dell’invio… e il gioco è fatto!

Tipi di Spoofing

Quando un criminale informatico decide quale tipo di spoofing adottare, prende in considerazione due fattori:

  • Se il dominio da falsificare ha i protocolli SPF, DKIM e DMARC correttamente configurati.
  • Se il dominio è vulnerabile ad attacchi BEC (Business Email Compromise).

Entrambi questi aspetti possono essere verificati tramite strumenti gratuiti disponibili online.

Domain Spoofing

Consiste nel falsificare direttamente il dominio reale dell’organizzazione.

Quando viene utilizzato:
Quando il dominio bersaglio non ha configurato correttamente i protocolli SPF, DKIM e DMARC, oppure, pur avendoli, è vulnerabile a un attacco BEC.

Vantaggi per il criminale informatico:
È la forma di spoofing più difficile da rilevare per l’utente.

Lookalike Domain Spoofing

Si tratta di usare un dominio simile a quello dell’organizzazione da impersonare.

Lookalike Domain Spoofing

Quando viene utilizzato:
Quando il dominio reale ha SPF, DKIM e DMARC attivi, oppure non è vulnerabile a un attacco BEC (è sufficiente una delle due condizioni).

Vantaggi per il criminale informatico:

  • Si evitano complicazioni con i protocolli di sicurezza.
  • I domini scelti possono essere così simili all’originale che le differenze sono difficili da notare.

Esistono strumenti gratuiti che suggeriscono decine di varianti simili per qualsiasi dominio.

Display Name Spoofing

È la forma più semplice di spoofing: si modifica solo il nome visualizzato del mittente, mantenendo invariato l’indirizzo e-mail reale.

Display Name Spoofing

Quando viene utilizzato:
Come nel caso precedente, quando il dominio da imitare ha i protocolli SPF, DKIM e DMARC correttamente configurati, o non è vulnerabile a BEC (serve solo uno dei due requisiti).

Vantaggi per il criminale informatico:

  • Se utilizza un dominio con buona reputazione, aumenta le possibilità di finire nella posta in arrivo.
  • Gli utenti non adeguatamente formati possono cadere facilmente in questo tipo di inganno, anche se è il più rudimentale.

Sfruttare l’header Reply-to

Quando un utente risponde a un’e-mail, il client di posta invia la risposta all’indirizzo specificato nel campo FROM. Tuttavia, questo può non essere ideale per il criminale, che allora utilizza l’intestazione Reply-to. In questo modo, la risposta verrà indirizzata all’indirizzo e-mail indicato lì, aggirando quello visualizzato come mittente.

Una delle molte combinazioni possibili per un attacco potrebbe quindi includere:

  • Un dominio affidabile nel campo FROM,
  • Un dominio diverso e controllato dal criminale nel campo Reply-to.

Aprovechando el Reply-to

L’utente, il vero rilevatore di falsi

Il protocollo SMTP consente, in modo estremamente semplice, la falsificazione dell’identità in un’e-mail. I meccanismi SPF, DKIM e DMARC sono fondamentali per proteggere i domini dallo spoofing, ma non sono infallibili.

I criminali hanno a disposizione strumenti semplici ed efficaci per eludere questi controlli.

È qui che entra in gioco l’utente: una persona correttamente formata sulla sicurezza informatica diventa una barriera indispensabile contro quelle e-mail fraudolente che i filtri tecnologici non riescono a bloccare.

Un utente consapevole, quando riconosce un tentativo di spoofing, saprà come reagire:

  • Segnalare l’e-mail come spam.
  • Usare il pulsante specifico messo a disposizione dall’azienda per il reporting.
  • Inoltrare il messaggio al reparto IT o sicurezza per l’analisi.
  • Segnalare il caso su siti come antiphishing.la per contribuire alla visibilità del problema.

Share:

Share on LinkedIn Share on Pinterest Share on WhatsApp
Tag Articolo :
Prev Post

Next Post

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Lascia un commento

Ricerca

Articoli recenti

Nuvola di tag

bec buone pratiche cambiamento comportamentale ciso consapevolezza consigli cybersicurezza formazione e sensibilizzazione hardening di utenti phishing ransomware responsabile sicurezza informatica sicurezza delle informazioni Sicurezza informatica smartfense

Blog in Spagnolo

Nel blog in spagnolo abbiamo centinaia di articoli da leggere

Vai al Blog in Spagnolo