Con l'evoluzione e il rapido sviluppo delle tecnologie, anche le minacce e gli attacchi virtuali si evolvono. Nuove forme di minacce basate sulla posta elettronica stanno prendendo forma, con livelli di intensità e scala sempre più elevati. Un esempio importante di minaccia basata sulle e-mail, scoperto di recente, è evidenziato in uno studio dettagliato di Researchgate: si tratta di BreakSPF, che sfrutta le vulnerabilità esistenti in uno dei protocolli di autenticazione delle e-mail più utilizzati, il Sender Policy Framework (SPF). L'aspetto particolarmente preoccupante di questo nuovo tipo di minaccia è che può causare danni su vasta scala e mettere in pericolo milioni di domini contemporaneamente.
Che cos'è l'attacco BreakSPF - Il nuovo trucco degli hacker
BreakSPF è un nuovo framework di attacco che aggira i controlli SPF per tentare lo spoofing delle e-mail. I domini con configurazioni SPF permissive sono particolarmente vulnerabili a questo tipo di attacco. BreakSPF si basa sul fatto che molte organizzazioni utilizzano infrastrutture di posta elettronica condivise, fornite da provider di servizi di posta elettronica in-the-cloud, proxy o reti di distribuzione dei contenuti (CDN). con pool di IP condivisi. Gli intervalli IP ampiamente definiti nei record SPF di queste infrastrutture di posta elettronica condivise creano un terreno fertile per l'azione di hacker e aggressori.
Attacco BreakSPF vs. altre minacce basate sulle e-mail
La maggior parte degli attacchi tradizionali di spoofing o phishing delle e-mail cerca di aggirare la sicurezza delle e-mail attraverso il social engineering o il malware. BreakSPF, invece, prende di mira il meccanismo SPF stesso, sfruttando proprio il sistema progettato per proteggere dai tentativi di spoofing delle e-mail. In altre parole, mentre gli attacchi tradizionali di spoofing o phishing via e-mail possono essere bloccati dai controlli SPF o DKIM, in un attacco BreakSPF gli attori delle minacce possono aggirare questi controlli di verifica, consentendo alle e-mail spoofate di raggiungere facilmente le caselle di posta dei destinatari ignari.
Come funziona BreakSPF: Bypassare i controlli SPF
Secondo il conferenza di Researchgateil 51,7% dei domini ha record SPF che includono più di 65.536 (216) indirizzi IP". Un intervallo così ampio non solo è pericoloso, ma è anche del tutto inutile, dato che la maggior parte dei domini e-mail non richiede un numero così elevato di indirizzi IP. I record SPF troppo annidati e di dimensioni eccessive possono portare a una situazione di potenziale superamento dei limiti di ricerca SPF. Questo potrebbe consentire agli hacker di eludere i protocolli di sicurezza esistenti. Infatti, quando il record SPF è troppo complesso e il limite di ricerca SPF viene superato, il livello di protezione non svolge più il compito per cui era stato inizialmente concepito.
Ecco come funziona l'attacco: un aggressore identifica un dominio popolare (come example.com) che ha una configurazione SPF vulnerabile, ovvero il suo record SPF consente un'ampia gamma di indirizzi IP. L'aggressore utilizza servizi pubblici che forniscono accesso a indirizzi IP all'interno di questo intervallo consentito. Quindi, invia alle vittime e-mail contraffatte da questi indirizzi IP. Poiché la convalida SPF verifica l'indirizzo IP del mittente e lo considera legittimo (in quanto rientra nel record SPF del dominio), le e-mail spoofate superano i controlli SPF e DMARC. Di conseguenza, le vittime ricevono e-mail dall'aspetto autentico che hanno eluso le misure standard di autenticazione delle e-mail.
Gli elementi chiave di questo attacco includono:
- Il dominio di destinazione ha un record SPF con intervalli IP troppo permissivi.
- L'attaccante controlla un'infrastruttura pubblica sufficiente a selezionare gli indirizzi IP inclusi nel record SPF.
- L'aggressore può inviare messaggi di posta elettronica con spoofing senza dover ricorrere a funzionalità avanzate come lo spoofing DNS o la modifica delle voci DNS.
Tipi di attacchi BreakSPF
La trasmissione delle e-mail avviene generalmente attraverso due canali principali: I server HTTP e i server SMTP. Su questa base, l'attacco BreakSPF è stato classificato da Researchgate in tre gruppi distinti:
1. Attacchi con indirizzo IP fisso
Negli attacchi con indirizzo IP fisso, gli aggressori mantengono il controllo a lungo termine su indirizzi IP specifici. Agendo come agenti di trasferimento della posta (MTA), inviano e-mail dannose e spoofate direttamente al servizio di posta elettronica della vittima. Questi attacchi si avvalgono spesso di infrastrutture condivise come server cloud e servizi proxy. I meccanismi tradizionali di difesa dallo spam, tra cui il greylisting, sono generalmente inefficaci contro gli attacchi a indirizzo IP fisso.
2. Attacchi agli indirizzi IP dinamici
Utilizzando questo metodo, gli aggressori non hanno il controllo sugli indirizzi IP in uscita specifici per ogni connessione. Tuttavia, valutano dinamicamente quali domini sono più vulnerabili in base all'IP in uscita corrente e quindi ottengono temporaneamente il controllo attraverso varie funzionalità o metodi. Poiché questi indirizzi IP cambiano costantemente, i metodi tradizionali di blacklist IP diventano di nuovo inefficaci contro gli attacchi agli indirizzi IP dinamici. Mentre il metodo precedente, gli attacchi con indirizzo IP fisso, utilizzava server cloud e servizi proxy, gli attacchi con indirizzo IP dinamico sfruttano l'infrastruttura pubblica (ad esempio funzioni serverless, piattaforme CI/CD, ecc.).
3. Attacchi cross-protocollo
Quando si utilizzano attacchi cross-protocollo, gli aggressori non hanno nemmeno bisogno di avere un controllo diretto sugli indirizzi IP. Invece, gli hacker inseriscono i dati SMTP all'interno di pacchetti di dati HTTP. Quindi, inoltrano questi pacchetti al servizio di posta elettronica della vittima prevista utilizzando proxy HTTP e nodi di uscita CDN. Quando prendono di mira la vittima con attacchi cross-protocollo, gli hacker spesso utilizzano infrastrutture condivise (ad esempio, proxy HTTP aperti, servizi CDN, ecc.). Questo tipo di attacco è estremamente difficile da rilevare o tracciare, poiché si svolge in modo molto poco trasparente.
L'impatto degli attacchi BreakSPF
I domini di tutto il mondo possono facilmente essere vittime di attacchi di phishing ed esporre agli hacker dati molto sensibili e riservati a causa di attacchi BreakSPF.. Le aziende possono anche perdere la loro reputazione tra le persone che si fidavano di loro e delle comunicazioni provenienti da loro.
Numerose aziende di alto profilo possono subire significative perdite finanziarie e di quote di mercato a causa del peggioramento della reputazione. Ciò implica che gli attacchi BreakSPF possono avere conseguenze dirette e indirette non solo sulla sicurezza dei dati e sulla privacy, ma anche su altri aspetti di un'azienda, come l'immagine del marchio, le vendite e la posizione di mercato.
Al di là dell'impatto a livello microscopico sulle organizzazioni, possiamo notare che questo tipo di attacchi massicci di phishing e di spoofing di e-mail esaurirà anche la fiducia negli scambi di e-mail in generale, limitando la libertà delle persone nelle comunicazioni quotidiane sia in ambito personale che professionale e costringendo gli individui a passare ad altre piattaforme. Questo può essere dannoso per le strutture esistenti e per le campagne di marketing che utilizzano e-mail e newsletter come parte integrante della loro strategia di marketing.
Pertanto, l'impatto degli attacchi BreakSPF andrà al di là di qualsiasi area geografica o categoriale specifica. Colpisce individui e aziende che utilizzano le comunicazioni via e-mail per una varietà di esigenze e scopi.
Come prevenire l'attacco BreakSPF
Ci sono diverse misure chiave che potete adottare per prevenire tali attacchi al vostro dominio e proteggere la vostra azienda e i vostri dipendenti:
1. Rendere i record SPF meno complessi
Secondo le best practice SPF, dovrebbe esistere un solo record SPF per un determinato dominio. Purtroppo, oggi sono molto comuni record SPF multipli e complessi per un singolo dominio, poiché i proprietari dei domini non prestano sufficiente attenzione a una gestione accurata dell'SPF.
Questo comportamento scorretto porta a errori di convalida SPF, per cui anche le e-mail legittime vengono spesso contrassegnate come spam. Questo danneggia la deliverability delle e-mail nel suo complesso, mettendo a rischio le comunicazioni aziendali e la reputazione.
2. Evitare di superare il limite di ricerca DNS del 10
"SPF Permerror: too many DNS lookups" è il messaggio che si riceve quando si supera il limite di 10 ricerche DNS. Permerror viene trattato come un errore SPF dovuto a un errore permanente e spesso può impedire all'e-mail di raggiungere la casella di posta del destinatario o segnalarla come sospetta. Questo potrebbe causare seri problemi con i tassi di recapito delle e-mail.
Ci sono diversi accorgimenti che si possono adottare per evitare di superare il limite di 10 ricerche DNS. Ad esempio, è possibile rimuovere le dichiarazioni "include" non necessarie e gli IP annidati utilizzando un metodo di SPF flattening servizio di appiattimento SPF.
Preferibilmente, è possibile ottimizzare il record SPF utilizzando Macro SPF. Noi di PowerDMARC aiutiamo i nostri clienti a ottenere un SPF privo di errori e con un numero illimitato di ricerche ogni volta con il nostro servizio di soluzione SPF in hosting che sfrutta l'integrazione delle macro.
Per maggiori informazioni, potete consultare il nostro blog post sui passi necessari per risolvere il problema SPF.
3. Correggere le lacune nelle configurazioni errate del protocollo
BreakSPF può aggirare la verifica SPF e DMARC. È importante identificare e risolvere eventuali lacune o configurazioni errate nell'adozione di SPF e DMARC per evitare che gli aggressori aggirino i controlli di verifica. Tali lacune e configurazioni errate possono includere l'adozione non corretta di DMARC e SPF, la mancanza di aggiornamenti o ottimizzazioni tempestive, ecc.
4. Monitorare i rapporti DMARC
Abilitare i rapporti DMARC per i vostri domini e prestarvi attenzione può anche aiutarvi a rilevare eventuali problemi e configurazioni errate nei protocolli di autenticazione delle e-mail esistenti. Questi rapporti forniscono una grande quantità di informazioni che possono portare all'individuazione di indirizzi IP sospetti.
5. Applicare le politiche DMARC
Il DMARC non solo dovrebbe essere combinato con SPF e DKIM, ma dovrebbe anche essere implementato con politiche rigorose come DMARC Reject per evitare politiche eccessivamente permissive. Il criterio DMARC none non offre alcuna protezione contro gli attacchi informatici. Dovrebbe essere utilizzata solo nella fase iniziale dell'autenticazione delle e-mail (cioè nella fase di monitoraggio).
Tuttavia, se si continua a seguire questa politica oltre la fase iniziale di monitoraggio, potrebbe causare seri problemi di sicurezza, in quanto lascerebbe il vostro dominio vulnerabile agli attacchi informatici. Infatti, anche quando il DMARC fallisce per le vostre e-mail, in base alla politica "none" l'e-mail verrà comunque consegnata alla casella di posta del destinatario, spesso con contenuti dannosi.
6. Rafforzare la gestione dei porti
Il rafforzamento e il miglioramento della gestione delle porte per i servizi cloud contribuirà inoltre a bloccare l'abuso di IP nel cloud da parte degli aggressori. I servizi cloud sono una fonte comune di attacchi informatici. Questo perché il cloud è spesso utilizzato come archivio di dati importanti e sensibili, il che lo rende un bersaglio attraente per gli hacker. Inoltre, gli attacchi al cloud possono anche portare a violazioni dei dati poiché, una volta che gli hacker riescono ad accedere all'account del cloud, possono immediatamente vedere e rubare tutti i dati in un colpo solo.
Quindi, se da un lato avere tutti i dati in una piattaforma cloud centralizzata può comportare una serie di vantaggi, dall'altro potrebbe essere molto pericoloso per la vostra sicurezza online. Pertanto, misure proattive come la crittografia dei dati, il rilevamento delle intrusioni e un rigoroso controllo degli accessi sono di fondamentale importanza per migliorare la sicurezza dei vostri servizi cloud e della vostra azienda nel suo complesso.
Riassunto
Avete bisogno di aiuto e consulenza per la corretta adozione dei vostri protocolli di autenticazione e-mail? PowerDMARC è qui per aiutarvi!
Il consueto servizio SPF gestito da PowerDMARC PowerSPFoffre una vasta gamma di soluzioni per la gestione e l'ottimizzazione dell'SPF in hosting per le aziende di tutto il mondo, aiutandovi a prevenire BreakSPF e molti altri errori e problemi legati all'SPF. Migliorate la sicurezza del vostro dominio - contattate oggi stesso PowerDMARC e godetevi la tranquillità della comunicazione digitale!
- Come impostare la posta con marchio Apple utilizzando Apple Business Connect - 3 dicembre 2024
- Appiattimento della SPF: Cos'è e perché ne avete bisogno? - 26 novembre 2024
- Presentazione di DKIM2: il futuro della sicurezza delle e-mail - 20 novembre 2024