Che cos'è lo spoofing delle email e come fermarlo?

Lo spoofing delle email è sinonimo di attacco di phishing. È stato un problema dagli anni ’70 ed è iniziato con gli spammer che lo utilizzavano per aggirare i filtri email antispam. Oltre 3 miliardi di email di spoofing vengono inviate al giorno e questa è una grave minaccia alla sicurezza informatica. In questo articolo, entreremo nella definizione di email spoofing, come funziona, perché esiste e come prevenirlo.

Come funziona lo spoofing delle email?

Lo spoofing delle email è realizzabile perché il Simple Mail Transfer Protocol (SMTP) non fornisce l’autenticazione dell’indirizzo. In questo modo, lo spoofing può essere eseguito semplicemente con un server SMTP funzionante e un client di posta elettronica (come Outlook o MacMail). Una volta composto il messaggio email, l’utente malintenzionato può modificare i campi dell’intestazione dell’email come From, Reply-To e Return-Path.

Quando il destinatario riceve il messaggio, sembra che sia stato inviato da qualcuno che conosce o di cui può fidarsi, di solito un collega, un fornitore o un marchio famoso. Contando sulla sua fiducia, il truffatore può chiedere al destinatario i dettagli della carta di credito, di fare clic su un link dannoso o trasferire dei fondi.

Ad esempio, un utente malintenzionato può generare un messaggio che sembra inviato dalla “Banca d’America”. Il messaggio implicherebbe l’urgenza e la richiesta da parte del destinatario di cambiare la sua password o autenticarsi tramite un link fornito. Se si viene ingannati con successo e si seguono le richieste del messaggio, l’utente malintenzionato otterrà l’accesso al conto bancario.

Truffe più complesse prendono di mira aziende, organizzazioni e individui che eseguono trasferimenti di fondi, con attacchi per compromettere le email aziendali (BEC). Secondo l’International Crime Report dell’FBI per il 2020, sono state segnalate perdite da oltre $ 1,8 miliardi a causa di vari e sempre più sofisticati attacchi BEC. Questi includono la compromissione delle email personali e dei fornitori, la frode del CEO, account email di avvocati contraffatti, furto d’identità e conversione di fondi in criptovalute.

I provider di servizi di posta elettronica implementano di default delle misure di sicurezza, tuttavia, lo spoofing non ha bisogno di aggirarle, poiché SMTP non richiede l’autenticazione. Questa tecnica sfrutta il fattore umano piuttosto che le implementazioni di sicurezza, il che la rende molto più pericolosa. La maggior parte degli utenti tende a non controllare l’intestazione delle email nei messaggi che ricevono. Inoltre, falsificare un messaggio di posta elettronica è relativamente facile per gli hacker, poiché non è necessario avere delle conoscenze tecniche approfondite.

Quali sono le diverse tecniche di spoofing?

Ci sono vari metodi per falsificare un’email falsificando la sua sintassi. Prendono di mira diverse parti del messaggio. Di seguito, spiegheremo ciascuna di queste tecniche per aiutarti a capirle meglio.

Spoofing del nome visualizzato

Un tipo comune di email spoofing è lo spoofing del nome visualizzato, in cui il nome visualizzato del mittente è falsificato. Praticamente, puoi farlo creando un nuovo account Gmail con il nome del contatto che desideri impersonare.

Sebbene la sezione mailto: mostri l’effettivo indirizzo email; a prima vista, il messaggio può sembrare legittimo per l’utente. Tali messaggi non vengono filtrati come spam, poiché provengono da un indirizzo email effettivo. Questo è un exploit delle interfacce utente che punta all’intuitività e quindi mostra meno informazioni.

La maggior parte dei client di posta elettronica non mostra i metadati di un messaggio. Le app di posta elettronica nei telefoni di solito mostrano solo il nome visualizzato, il che facilita ulteriormente lo spoofing del nome visualizzato.

Spoofing con domini legittimi

Un’altra forma di spoofing è lo spoofing del dominio, in cui l’obiettivo dell’utente malintenzionato è ottenere una maggiore credibilità. Utilizzerebbe un indirizzo email affidabile su un server SMTP compromesso che non richiede l’autenticazione per modificare gli indirizzi Da e A nel messaggio. In questo modo, sia il nome visualizzato che l’indirizzo email potrebbero trarre in inganno.

Email spoofing con domini somiglianti

Immagina che un dominio sia protetto e non possa essere falsificato. In queste circostanze, il truffatore può registrare un dominio simile al nome di dominio impersonato, ad esempio @paypal1.com invece di @paypal.com. Per un lettore disattento, questo cambiamento potrebbe essere troppo piccolo per essere notato. L’autore dell’attacco infonde quindi un senso di autorità e può indurre l’obiettivo a fornire dati privati o trasferire fondi.

Poiché la maggior parte degli utenti tende a non leggere le intestazioni delle email di ogni messaggio che ricevono, quindi questo tipo di spoofing si rivela molto efficace. Anche il software spam non filtrerà questi messaggi poiché provengono da una casella di posta esistente. Indagare sui metadati dei messaggi email è il metodo comprovato per confermare la loro autenticità.

Motivi per lo spoofing delle email

Più comunemente, gli hacker usano lo spoofing per inviare email di phishing. Tuttavia, il ragionamento alla base può includere:

• Nascondere la vera identità del mittente – Gli aggressori generalmente usano questa tattica come parte di un altro attacco informatico. Questo può essere ottenuto anche registrando un indirizzo email anonimo.
• Evitare filtri antispam e blacklist – È probabile che i messaggi di spam vengano catturati dal software di protezione antispam. Ad esempio, in SiteGround abbiamo integrato protezione spam in quanto leader nel mercato della sicurezza email. Questo servizio ti consente di bloccare i messaggi per dominio o indirizzo email. Poiché gli spammer stanno cercando di bypassare tali filtri, potrebbero decidere di passare da un account email all’altro.
• Fingere di essere una persona fidata che conosci – È più probabile che tu divulga informazioni sensibili a qualcuno che conosci, come un collega o un amico. In questo modo l’utente malintenzionato può accedere alle tue risorse finanziarie.
• Fingere di essere un’organizzazione aziendale affidabile  –  Ad esempio, l’hacker si spaccia per un istituto finanziario per ottenere le credenziali del tuo conto bancario.
• Per macchiare la reputazione del presunto mittente  – Gli aggressori possono utilizzare lo spoofing delle email per infamare un’azienda o una persona.
• Furto d’identità – impersonando una vittima mirata e richiedendo informazioni d’identificazione personale.
• Per diffondere malware  – Gli hacker inseriscono allegati infetti nelle email contraffatte per avviare e diffondere malware.

Come posso proteggermi dallo spoofing delle email?

Potresti essere influenzato dallo spoofing delle email come persona che riceve l’email contraffatta o la cui email è stata falsificata. Poiché l’autenticazione è assente nel Simple Mail Transfer Protocol, sono stati sviluppati diversi framework per bloccare lo spoofing delle email.

Come fermare la contraffazione delle email dal mio indirizzo email?

Se qualcuno sta falsificando il tuo indirizzo email, dovresti prendere in considerazione l’implementazione delle seguenti soluzioni per prevenirlo.

• Sender Policy Framework (record SPF) – Convalida il mittente di un messaggio di posta elettronica controllando se l’IP di origine è autorizzato a inviare dal nome di dominio specificato. Questo record DNS è abilitato di default per il tuo nome di dominio nella nostra zona DNS. Puoi gestirlo da Site Tools > Email> Autenticazione > SPF
• DomainKeys Identified Mail (record DKIM) – Questo meccanismo utilizza una coppia di chiavi crittografate per firmare i messaggi in uscita e convalidare i messaggi in entrata. DKIM è abilitato di default nella nostra zona DNS.
• Domain-Based Message Authentication, Reporting, and Conformance (record DMARC) –  Questo record consente al mittente di far sapere al destinatario se la sua email è protetta da records SPF o DKIM. Inoltre suggerisce quali azioni dovrebbe intraprendere il destinatario quando ha a che fare con la posta che fallisce l’autenticazione. Questo record non è ancora molto utilizzato. Crealo da Site Tools > Dominio> Editor di zona DNS > Seleziona il dominio desiderato > aggiungi record TXT.

Come evitare di diventare vittima di spoofing?

Per evitare di diventare vittima di contraffazione delle email, è necessario assicurarsi di prendere nota di quanto segue:

• Assicurati che il tuo software antivirus sia sempre aggiornato e sii consapevole delle tattiche utilizzate nell’ingegneria sociale.
• Se non sei sicuro della validità di un messaggio, controlla la sua intestazione e cerca una risposta PASS o FAILED nella sezione Received-SPF. Ogni client di posta elettronica richiede diversi passaggi per visualizzare le intestazioni delle email, quindi scopri come visualizzare le intestazioni nell’applicazione di posta elettronica che stai utilizzando.
• Diffida dei messaggi inviati da organizzazioni presumibilmente rispettate, che contengono una grammatica e ortografia scadenti.
• Utilizza account email sacrificabili quando ti registri in siti Web, così da evitare di essere aggiunto a elenchi dubbi e invii di email di massa.
• Non rivelare informazioni personali nelle email. Questa pratica può limitare significativamente gli effetti dello spoofing delle email.
• Utilizza la soluzione SiteGround Spam Protection che proteggerà i tuoi account email dallo Spam.
• Proteggi il tuo dominio dallo spoofing degli spammer utilizzando i record SPF, DKIM e DMARC.
• Utilizza protocolli di posta elettronica sicuri per configurare i tuoi client di posta elettronica locali.

Per riassumere, non c’è molto che possiamo fare per correggere lo spoofing delle email, poiché si evolve costantemente con il progresso tecnologico. Possiamo, tuttavia, esserne consapevoli e instillare buone pratiche per proteggere i nostri canali di comunicazione. Ci adoperiamo per mantenere aggiornate le versioni di tutti i software che forniscono servizi di posta elettronica (SMTP, IMAP / POP3) con le ultime patch di sicurezza.