La posta elettronica rappresenta un bersaglio irresistibile per gli hacker e i truffatori online che cercano di utilizzare questo canale di comunicazione per diffondere virus, malware e phishing, ovvero messaggi fraudolenti finalizzati a rubare informazioni personali o a inviare spam.
In questo contesto, lo “spoofing” rappresenta una delle tecniche di attacco informatico più pericolose e diffuse.
Vedremo in dettaglio cos’è, quali sono i rischi che comporta e le misure che è possibile adottare per difendersi.
Cos’è l’email spoofing
L’email spoofing è una pratica fraudolenta che consiste nell’invio di messaggi di posta elettronica con mittente contraffatto. In pratica, il malintenzionato intende ingannare il destinatario facendogli credere che l’email provenga da un’altra persona o da un’organizzazione attendibile.
Il termine “spoofing” deriva dalla parola inglese “spoof”, che significa “ingannare” o “scherzare”. In effetti, l’email spoofing può essere utilizzata anche per fare dei semplici scherzi, ma spesso si tratta di una tecnica utilizzata per scopi illeciti come il furto di dati personali o il phishing.
Il malintenzionato utilizza software di terze parti che permettono di manipolare i campi dell’intestazione dell’email come il mittente, il destinatario o l’oggetto del messaggio.
In questo modo, l’email contraffatta sembrerà provenire da un indirizzo di posta elettronica diverso da quello reale del mittente.
Per comprendere il motivo per cui è possibile mascherare il mittente di una mail in modo così facile, è necessario ricordare che i protocolli che regolamentano il funzionamento delle email sono nati oltre 30 anni fa.
In quel periodo, problemi come lo spam o le truffe online non esistevano, essendo Internet un ambiente riservato principalmente ai ricercatori universitari.
Inoltre, il protocollo SMTP che stabilisce lo scambio di messaggi email tra i server, non prevede alcun metodo di autenticazione del mittente dichiarato nell’indirizzo email.
In pratica, chiunque può inserire un indirizzo falso per mascherare la vera identità del mittente.
Perché viene utilizzato il tuo indirizzo di posta
Non si tratta di una cosa voluta o premeditata. Gli spammer cercano indirizzi email per inviare messaggi indesiderati e le vittime sono più propense a leggerli se provengono da qualcuno che conoscono.
Spesso i nomi dei mittenti e destinatari sono ottenuti da virus che rubano le rubriche dai PC delle vittime.
Un altro motivo potrebbe essere l’inclusione del proprio indirizzo email su liste che spesso vengono utilizzate per inviare messaggi fraudolenti ad altri utenti.
Gli hacker quindi utilizzano il tuo indirizzo email per essere più credibili e aumentare le probabilità di successo della loro frode.
In sostanza gli indirizzi vengono presi a caso da questi archivi o da queste liste di indirizzi email recuperate online.
Come difendere la tua email dallo spoofing
Per proteggere l’account email dai pericoli dello spoofing, è necessario adottare delle misure preventive. Tra queste vi sono delle tecniche note come SPF, DKIM e DMARC.
L’obiettivo è di includere nel DNS del proprio dominio delle informazioni che notifichino al server di destinazione se l’email è stata inviata effettivamente dal server del mittente o meno.
Analizziamole in dettaglio una ad una.
SPF (Sender Policy Framework)
È una tecnica di autenticazione che controlla se l’indirizzo IP del server SMTP è autorizzato ad inviare messaggi dal dominio specifico.
Ciò viene fatto verificando se i record DNS del dominio contengono l’indirizzo IP del mittente caratteristica che conferma l’autorizzazione ad inviare messaggi dal dominio in questione.
Quindi il record SPF contiene informazioni sui server di posta autorizzati ad utilizzare il tuo indirizzo email e viene utilizzato per verificare la provenienza dei messaggi.
Il record è facilmente configurabile attraverso il DNS: sarà possibile includere tutti gli IP autorizzati ad inviare messaggi dal tuo dominio.
Nel nostro caso un record SPF sarà come il seguente:
v=spf1 ip4:185.31.67.1/24 ~all
Con l’opzione ~all il messaggio inviato anche da un server SMTP non autorizzato può essere accettato, mentre con -all il messaggio deve essere respinto.
Utilizzare l’opzione “all” può essere utile per garantire una maggiore sicurezza nella gestione delle email ma occorre fare attenzione a non imporre restrizioni eccessive ai mittenti legittimi.
DKIM (DomainKeys Identified Mail)
È una tecnica che utilizza una firma digitale per verificare l’autenticità del mittente di una email. Questa firma digitale viene apposta dal mittente nel messaggio email e verificata dal destinatario tramite la chiave pubblica memorizzata nel record DNS del dominio del mittente.
Anche se non può evitare che qualcuno mandi email a tuo nome, ti permette di identificare se un messaggio è stato inviato veramente dai server SMPT del tuo provider.
Per configurare la firma DKIM è necessario generare una coppia di chiavi crittografiche.
La chiave privata verrà utilizzata per apporre una firma digitale sulle email inviate dal tuo dominio, mentre la chiave pubblica viene inclusa nel tuo record DNS per la verifica del destinatario.
Questa funzionalità è sempre inclusa in tutti i nostri servizi hosting.
DMARC (Domain-based Message Authentication, Reporting and Conformance)
Infine è possibile configurare un insieme di regole, definite appunto DMARC, che consente di identificare e autenticare gli indirizzi email che inviano messaggi a nome del tuo dominio.
Grazie a queste policy è possibile aumentare la sicurezza, impedendo ai malintenzionati di utilizzare il tuo nome di dominio per scopi illeciti come appunto l’invio di spam o phishing.
Le policy DMARC prevedono la definizione di tre diversi livelli di azione:
- none:
- quarantine:
- reject.
Nel primo caso, i messaggi provenienti da un mittente non autorizzato verranno segnalati come non autenticati, ma non verranno bloccati.
Nel secondo caso, invece, i messaggi non autorizzati verranno inviati in una sorta di quarantena, dove potranno essere valutati e analizzati prima di essere consegnati al destinatario.
Infine, nel terzo caso, tutti i messaggi provenienti da mittenti non autorizzati verranno immediatamente rifiutati e non verranno consegnati al destinatario.
La configurazione va effettuata inserendo un record TXT nei DNS del tuo dominio. La configurazione, in questo caso, è opzionale e va richiesta al supporto tecnico.
Email Spoofing: consigli finali
Ci sono alcune linee guida fondamentali a cui fare costantemente riferimento per proteggere la propria attività online:
Usa password robuste
Utilizzare password robuste e generate casualmente per tutte le caselle di posta elettronica. Una password forte e univoca può prevenire intrusioni da parte di hacker, proteggendo i dati sensibili della tua azienda.
Installa un software antivirus
Dotare le postazioni di lavoro dei tuoi dipendenti di un affidabile software Antivirus o Endpoint Protection. Questi strumenti sono in grado di rilevare, prevenire e rimuovere virus, spyware e altri tipi di malware.
Proteggi la tua rete con un firewall
Installare un firewall di nuova generazione (Next Generation Firewall) per proteggere l’intera azienda. Questo tipo di firewall è in grado di effettuare incroci tra dati e contenuti per individuare eventuali minacce e prevenirle.
La protezione del tuo business non può essere lasciata al caso, affidati solo alle soluzioni più avanzate e sicure.
Infine…
Non cliccare sui link contenuti in email sospette. Prendi l’abitudine di verificare l’indirizzo reale che viene visualizzato dal browser (in basso a sinistra) spostando il mouse sopra il testo o l’immagine linkata.
Non inserire informazioni confidenziali in siti web che non sono protetti
Non aprire o rispondere alle email senza verificare prima l’autenticità del mittente.
Se hai ancora qualche dubbio, ti aspettiamo nei commenti.
Lascia un commento