L'e-mail è spesso la prima scelta dei criminali informatici quando si lanciano, perché è facile da sfruttare. A differenza degli attacchi brute-force, che richiedono una notevole potenza di elaborazione, o dei metodi più sofisticati che richiedono un alto livello di abilità, lo spoofing del dominio può essere semplice come scrivere un'e-mail fingendo di essere qualcun altro. In molti casi, quel "qualcun altro" è un'importante piattaforma di servizi software su cui le persone fanno affidamento per il proprio lavoro.

È quello che è successo tra il 15 e il 30 aprile 2020, quando i nostri analisti di sicurezza di PowerDMARC hanno scoperto una nuova ondata di e-mail di phishing rivolte alle principali compagnie assicurative del Medio Oriente. Questo attacco è stato solo uno tra i tanti nel recente aumento dei casi di phishing e spoofing durante la crisi del Covid-19. Già a febbraio 2020, un'altra importante truffa di phishing si è spinta fino a impersonare l'Organizzazione Mondiale della Sanità, inviando e-mail a migliaia di persone che chiedevano donazioni per i soccorsi contro il coronavirus.

How Phishing Scams Are Using Office 365 to Target Insurance Firms

I punti chiave da prendere in considerazione

Lo spoofing delle e-mail è un metodo facilmente sfruttabile dai criminali informatici, che spesso prendono di mira organizzazioni fidate.
I recenti attacchi di phishing hanno impersonato servizi affidabili, sfruttando la fiducia degli utenti in queste piattaforme.
Le e-mail di phishing possono sembrare di routine e legittime, rendendo difficile per gli utenti identificarle come fraudolente.
I meccanismi di autenticazione basati sul dominio, come il DMARC, sono essenziali per la protezione dagli attacchi di spoofing e phishing.
Le organizzazioni devono dare priorità alla sicurezza delle e-mail per mantenere la fiducia e salvaguardare la propria reputazione dalle minacce informatiche.

In questa recente serie di incidenti, gli utenti del servizio Office 365 di Microsoft hanno ricevuto ciò che sembrava essere e-mail di aggiornamento di routine per quanto riguarda lo stato dei loro account utente. Queste e-mail provenivano dai domini delle loro organizzazioni, richiedendo agli utenti di reimpostare le loro password o fare clic sui link per visualizzare le notifiche in sospeso.

Abbiamo compilato una lista di alcuni dei titoli di e-mail che abbiamo osservato essere utilizzati:

Attività di accesso inusuale dell'account Microsoft
Hai (3) messaggi in attesa di consegna sul tuo portale e-Mail [email protected]* !
utente@dominio Hai messaggi in sospeso di Microsoft Office UNSYNC
Notifica sommaria di riattivazione per [email protected]

Semplificate la sicurezza con PowerDMARC!

Prova di 15 giorni Prenota una demo

*dati dell'account cambiati per la privacy degli utenti

Potete anche vedere un esempio di un'intestazione di posta usata in un'e-mail spoofata inviata a una società di assicurazioni:

Ricevuto: da [maligno_ip] (helo= dominio_cattivo)

id 1jK7RC-000uju-6x

per [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Ricevuto: da [xxxx] (porta=58502 helo=xxxxx)

da dominio_cattivo con esmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-GCM-SHA384:256)

Da: "Team di account Microsoft"

A: [email protected]

Oggetto: Notifica di Microsoft Office per [email protected] il 4/1/2020 23:46

Data: 2 Apr 2020 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: Questa intestazione è stata aggiunta per tenere traccia degli abusi, per favore includila in ogni segnalazione di abuso

X-AntiAbuse: Hostname primario - dominio_malizioso

X-AntiAbuse: Dominio originale - dominio.com

X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]

X-AntiAbuse: Indirizzo del mittente Dominio - domain.com

X-Get-Message-Sender-Via: dominio_malizioso: authenticated_id: admin@dominio_malizioso

X-Authenticated-Sender: malicious_domain: admin@malicious_domain

X-Source:

X-Source-Args:

X-Source-Dir:

Received-SPF: fail ( il dominio di domain.com non designa indirizzo IP malevolo come mittente consentito) client-ip= indirizzo_ip maligno ; envelope-from=[email protected]; helo=dominio_malizioso;

X-SPF-Resultato: il dominio di dominio.com non designa indirizzo IP malevolo come mittente consentito

X-Sender-Warning: Ricerca DNS inversa fallita per indirizzo IP malevolo (fallito)

X-DKIM-Status: nessuno / / dominio.com / / /

X-DKIM-Status: pass / / dominio_malizioso / dominio_malizioso / / predefinito

Il nostro Security Operation Center ha rintracciato i link delle e-mail a URL di phishing che prendevano di mira gli utenti di Microsoft Office 365. Gli URL reindirizzavano a siti compromessi in diverse località del mondo.

Guardando semplicemente i titoli delle e-mail, sarebbe impossibile dire che sono state inviate da qualcuno che ha spoofato il dominio della tua organizzazione. Siamo abituati a un flusso costante di email legate al lavoro o all'account che ci spingono ad accedere a vari servizi online come Office 365. Lo spoofing del dominio approfitta di questo, rendendo le loro email false e dannose indistinguibili da quelle genuine. Non c'è praticamente modo di sapere, senza un'analisi approfondita dell'email, se proviene da una fonte affidabile. E con dozzine di email che arrivano ogni giorno, nessuno ha il tempo di esaminare attentamente ognuna di esse. L'unica soluzione sarebbe quella di impiegare un meccanismo di autenticazione che controlli tutte le email inviate dal tuo dominio, e blocchi solo quelle che sono state inviate da qualcuno che le ha inviate senza autorizzazione.

Questo meccanismo di autenticazione si chiama DMARC. In qualità di uno dei principali fornitori di soluzioni per la sicurezza della posta elettronica al mondo, noi di PowerDMARC ci siamo prefissi di farvi comprendere l'importanza di proteggere il dominio della vostra organizzazione. Non solo per voi stessi, ma per tutti coloro che si fidano e dipendono da voi per ricevere e-mail sicure e affidabili nella loro casella di posta, ogni volta.

Potete leggere i rischi dello spoofing qui: https://powerdmarc.com/stop-email-spoofing/

Scopri come puoi proteggere il tuo dominio dallo spoofing e aumentare il tuo marchio qui: https://powerdmarc.com/what-is-dmarc/

Informazioni su
Ultimi messaggi

Ahona Rudra

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Ahona è la Marketing Manager di PowerDMARC, con oltre 5 anni di esperienza nella scrittura di argomenti di cybersecurity, specializzata in sicurezza dei domini e delle e-mail. Ahona ha conseguito una laurea in Giornalismo e Comunicazione, consolidando la sua carriera nel settore della sicurezza dal 2019.

Ultimi messaggi di Ahona Rudra (vedi tutti)

Requisiti del mittente Microsoft applicati - Come evitare i rifiuti 550 5.7.15 - 30 aprile 2025
Come prevenire lo spyware? - 25 aprile 2025
Come impostare SPF, DKIM e DMARC per Customer.io - 22 aprile 2025

Come le truffe di phishing stanno usando Office 365 per colpire le compagnie di assicurazione

Semplificate la sicurezza con PowerDMARC!

Strumenti

Prodotto

Azienda