Lo spoofing delle e-mail è un crimine informatico in cui un attore malintenzionato falsifica l'indirizzo "Da" dell'intestazione di un'e-mail per impersonare un mittente legittimo, una tattica che ha afflitto i marchi per decenni. Ogni volta che viene inviata un'e-mail, l'indirizzo "Da" non mostra intrinsecamente il server da cui proviene, bensì il dominio inserito durante il processo di creazione dell'indirizzo. Ciò rende molto difficile rilevare lo spoofing senza misure specifiche anti-spoofing, contribuendo al successo di questi attacchi.
Lo spoofing è comunemente utilizzato dagli attori informatici per lo spamming e il phishing, con un aumento degli incidenti di phishing del 220% rispetto alle medie annuali durante i grandi eventi globali come la pandemia. Il phishing è un tentativo fraudolento di ottenere informazioni sensibili come nomi utente, password, dettagli di carte di credito (compresi i numeri PIN), spesso per scopi malevoli; il termine stesso evoca il "pescare" una vittima fingendo affidabilità. Queste e-mail contraffatte contengono spesso link o allegati dannosi progettati per indurre le vittime a rivelare tali dettagli sensibili. Possono anche manipolare le vittime per indurle a scaricare malware e virus e possono essere un vettore per la consegna di ransomware.
I punti chiave da prendere in considerazione
- Lo spoofing delle e-mail falsifica gli indirizzi dei mittenti per impersonare fonti affidabili, consentendo il phishing, la distribuzione di malware e danni finanziari e di reputazione significativi.
- Una difesa robusta prevede un approccio a più livelli: implementare l'autenticazione delle e-mail (SPF, DKIM, DMARC, BIMI), utilizzare filtri e-mail, gateway sicuri e formare i dipendenti.
- Una corretta gestione dei record SPF (rimanendo entro i limiti di ricerca, mantenendo aggiornati gli elenchi di IP) e l'applicazione del DMARC (p=rifiuto/quarantena) sono fondamentali per l'efficacia dell'autenticazione.
- Gli aggressori utilizzano varie tecniche, tra cui la contraffazione del nome visualizzato, lo sfruttamento di domini legittimi (tramite vulnerabilità SMTP) e i domini lookalike per ingannare i destinatari.
- I singoli individui possono contribuire a individuare le e-mail contraffatte esaminando i dettagli del mittente, verificando la presenza di contenuti/link insoliti e verificando le richieste sospette attraverso canali separati.
Come fermare le e-mail di spoofing?
1. Implementare i protocolli di autenticazione delle e-mail
Oltre ai tre principali, anche altri protocolli come MTA-STS (SMTP MTA Strict Transport Security) e TLS-RPT (TLS Reporting) contribuiscono a rendere più sicuro l'ecosistema della posta elettronica, applicando la crittografia e fornendo rapporti sui problemi di connessione TLS.
- SPF (Sender Policy Framework): Uno dei protocolli di base per l'autenticazione delle e-mail, utilizzato insieme a DKIM e DMARC, aiuta a prevenire lo spoofing delle e-mail. I record SPF hanno un limite di 10 ricerche DNS, pensato per mantenere basso il costo di elaborazione di ogni e-mail. Sebbene la configurazione di SPF sia spesso semplice, la sua manutenzione rappresenta una sfida. Esiste un rischio significativo di superare il limite di 10 ricerche DNS, soprattutto quando si utilizzano più mittenti di e-mail di terze parti. Se questo limite viene superato, l'SPF si rompe, le e-mail legittime possono fallire l'autenticazione e il vostro dominio diventa più vulnerabile agli attacchi di spoofing e Business Email Compromise (BEC).
- DKIM (DomainKeys Identified Mail): Un protocollo di autenticazione delle e-mail per firmare tutti i messaggi in uscita e prevenire la manomissione delle e-mail. Utilizzando DKIM, è possibile preservare l'integrità della posta in uscita, contribuendo alla lotta contro gli attacchi di spoofing delle e-mail.
- DMARC (Domain-based Message Authentication, Reporting & Conformance): DMARC è un protocollo di autenticazione delle e-mail che consente alle organizzazioni di proteggersi dagli attacchi di spoofing e phishing. Funziona come un livello superiore a SPF e DKIM, consentendo ai proprietari dei domini di pubblicare una politica per la gestione da parte dei server di posta ricevuti dei messaggi che non superano i controlli di autenticazione e allineamento SPF o DKIM. Questo aiuta i ricevitori di e-mail a riconoscere quando un'e-mail non proviene legittimamente dai domini approvati dall'azienda e fornisce istruzioni (ad esempio, quarantena, rifiuto) su come smaltire in modo sicuro tali e-mail non autorizzate.
Bloccate le e-mail spoofate con PowerDMARC!
2. Monitorare regolarmente il traffico e-mail
Tenete d'occhio il traffico e-mail e le fonti di invio esaminando i rapporti DMARC del vostro dominio. DMARC del vostro dominio. Questi report completi forniscono una panoramica completa dei canali e-mail, dell'attività del dominio, delle intestazioni e-mail e delle fonti dei messaggi. Possono aiutare a rilevare rapidamente i tentativi di spoofing effettuati sul vostro dominio, in modo da poter intervenire immediatamente.
Tuttavia, la lettura di questi rapporti può rappresentare una sfida. A causa del complicato formato XML dei rapporti DMARC grezzi, gli utenti non tecnici spesso li trovano difficili da decifrare. Si consiglia di utilizzare un analizzatore di rapporti DMARC per analizzare questi rapporti in un formato leggibile dall'uomo. In questo modo si eliminano le complessità tecniche, rendendoli facilmente comprensibili a chiunque.
Sono inoltre disponibili strumenti che consentono di effettuare una ricerca per persona tramite e-mail e che possono aiutare a scoprire ulteriori dettagli sul mittente e fornire spunti per bloccare efficacemente questi attacchi.
3. Utilizzare i filtri e-mail anti-spoofing
I filtri anti-spoofing analizzano le e-mail in arrivo alla ricerca di caratteristiche sospette e segni di spoofing. Questi possono includere indirizzi di invio non corrispondenti, firme di phishing, allegati e-mail dannosi, ecc. I filtri devono essere applicati nei client e nei servizi di posta elettronica e configurati correttamente per evitare che le e-mail con spoofing raggiungano la casella di posta.
4. Impostare un indirizzo "Da" personalizzato
Impostate un indirizzo "Da" personalizzato con protocolli di autenticazione e-mail come SPF, DKIM e DMARC abilitati. Questi impediscono ai mittenti non autorizzati di abusare del vostro dominio e di firmare i token a vostro nome. Per evitare lo spoofing delle e-mail, il dominio della vostra azienda deve utilizzare una politica di DMARC di "quarantena" o "rifiuto".
5. Istruire i dipendenti sulla sicurezza delle e-mail
I dipendenti sono l'anello più debole della vostra organizzazione e possono involontariamente esporre il vostro dominio allo spoofing. La formazione dei dipendenti può trasformare questo anello debole nella difesa più forte contro le frodi via e-mail! I corsi gratuiti sulla sicurezza delle e-mail offrono un'ottima visione dei vettori di attacco, delle best practice e dei segnali di allarme, aiutando i vostri dipendenti a rimanere informati e vigili.
6. Implementare il BIMI (Indicatori di marca per l'identificazione dei messaggi).
BIMI è una funzione di sicurezza visiva delle e-mail che richiede l'applicazione di un criterio DMARC per visualizzare il logo del marchio direttamente nella casella di posta dei destinatari accanto ai messaggi autenticati. Apponendo il logo di un marchio alle sue e-mail, BIMI crea fiducia e credibilità. Se un malintenzionato invia un'e-mail che sembra provenire dal vostro dominio, ma non supera il DMARC (e quindi la convalida BIMI), la sua e-mail non mostrerà il vostro logo, rendendo più facile per i destinatari individuare un falso. Questo non solo aiuta a fermare lo spoofing delle e-mail, ma aumenta anche il riconoscimento del marchio ogni volta che si riceve un'e-mail legittima. Per configurare correttamente BIMI, il dominio deve avere un criterio DMARC applicato(p=quarantena o p=rifiuto) e un logo SVG conforme a BIMI. logo SVG.
7. Sfruttare le soluzioni di gateway e-mail
I gateway e-mail filtrano le e-mail di phishing per migliorare la sicurezza delle e-mail in entrata. Questi gateway assemblano un mix di intelligenza artificiale, sandboxing e tecnologie di threat intelligence per rilevare e prevenire attivamente le minacce via e-mail.
Come fanno gli hacker a falsificare il vostro indirizzo e-mail?
Se la risposta alla domanda "Sono vittima di spoofing" è affermativa, allora dovete sapere come gli attori delle minacce vi ingannano. In questo modo, la prossima volta sarete più attenti.
Lo spoofing è possibile perché il Simple Mail Transfer Protocol (SMTP), per impostazione predefinita, non convalida intrinsecamente che l'indirizzo del mittente di un'e-mail sia legittimo; i server di posta elettronica in uscita spesso non hanno modo di capire se è autentico o contraffatto. Gli aggressori sfruttano questo aspetto falsificando la sintassi delle e-mail, talvolta utilizzando script o manipolando le API dei client di posta elettronica per configurare l'indirizzo del mittente. In questo modo possono inviare migliaia di messaggi falsi da quello che sembra essere un dominio di posta elettronica autentico, spesso senza bisogno di una profonda esperienza di programmazione. Ecco alcuni metodi comuni:
Spoofing tramite nome visualizzato
In questo caso, viene falsificato solo il nome visualizzato del mittente dell'e-mail, creando un nuovo account e-mail con lo stesso nome del contatto che si sta imitando. Tuttavia, l'indirizzo e-mail del mittente visualizzato sarà diverso.
Queste e-mail non vengono etichettate come spam perché sembrano legittime.
Spoofing attraverso domini legittimi
In questo metodo, i malintenzionati utilizzano un indirizzo e-mail affidabile nell'intestazione "Da" (ad esempio, [email protected]). In questo caso, sia il nome visualizzato che l'indirizzo e-mail mostreranno dettagli contraffatti.
Gli hacker non dirottano una rete interna, ma sfruttano il Simple Mail Transfer Protocol (SMTP) per specificare manualmente gli indirizzi "A" e "Da".
Spoofing attraverso i domini lookalike
Se un dominio è protetto, non è possibile effettuare lo spoofing dei domini. Per questo motivo gli spoofers devono creare un dominio simile. Ad esempio, utilizzando 0 (zero) al posto di O (la quindicesima lettera dell'alfabeto inglese). Ad esempio, invece di www.amazon.com, possono creare www.amaz0n.com.
Il trucco funziona perché la maggior parte dei destinatari non si accorge di queste piccole alterazioni ortografiche.
Riconoscere i segnali di spoofing
Segni di e-mail spoofate
Bisogna fare attenzione se:
- nella vostra "casella di posta" vedete e-mail che non sono state inviate da voi.
- ricevete risposte a e-mail non iniziate da voi.
- la password è cambiata e non è stata fatta da voi.
- le persone ricevono e-mail fraudolente a vostro nome.
Suggerimenti per i destinatari per identificare le e-mail contraffatte
Mentre le organizzazioni implementano le difese tecniche, anche i singoli individui svolgono un ruolo nell'individuare le e-mail potenzialmente dannose. Siate prudenti se ricevete un'e-mail e notate:
- Informazioni del mittente non corrispondenti: Controllate attentamente il nome di dominio del mittente. Sembra leggermente sbagliato (ad esempio, "example.co" invece di "example.com") o completamente diverso da quello che ci si aspetta?
- Grammatica e errori di battitura: Molte e-mail di phishing contengono evidenti errori ortografici o grammaticali.
- Link o allegati sospetti: Passare il mouse sui link (senza fare clic!) per visualizzare l'URL di destinazione effettivo. Diffidate degli allegati inaspettati, soprattutto se provenienti da mittenti sconosciuti.
- Linguaggio urgente o minaccioso: Le e-mail che creano un falso senso di urgenza o di paura per costringere a un'azione immediata sono una tattica comune.
- Richieste di informazioni sensibili: Le organizzazioni legittime raramente chiedono password, numeri di previdenza sociale o dati completi della carta di credito via e-mail.
- Saluti generici: Le e-mail che iniziano con "Gentile cliente" invece che con il vostro nome possono essere un segnale di allarme, anche se non sempre definitivo.
- In caso di dubbi, non cliccate su alcun link o aprite gli allegati. Contattate il presunto mittente attraverso un canale di comunicazione noto e separato (ad esempio, il suo sito web ufficiale o il numero di telefono) per verificare l'autenticità dell'e-mail, oppure segnalatelo al vostro reparto IT.
In che modo le e-mail contraffatte possono danneggiarvi
Le e-mail con spoofing sono come il vaso di Pandora, poiché un'alta percentuale di attacchi informatici (alcuni studi suggeriscono oltre il 70%) inizia con un'e-mail dannosa e molte violazioni di dati coinvolgono tattiche di social engineering come lo spoofing. Possono scatenare una serie di problemi, con conseguenze pericolose quali:
- Lo spoofing può portare a e-mail di phishing inviate a nome dell'utente per rubare informazioni sensibili come i dati di login e della carta di credito.
- Lo spoofing può portare ad attacchi BEC. I criminali informatici si spacciano per legittimi dirigenti aziendali per trasferire denaro o condividere informazioni riservate.
- I messaggi di posta elettronica con spoofing possono portare alla distribuzione di malware e spyware e ad attacchi ransomware.
- Ripetuti attacchi di spoofing sul vostro dominio possono causare danni significativi alla reputazione e ridurre la fiducia nel marchio, inducendo potenzialmente i clienti a diventare riluttanti ad aprire anche le e-mail legittime. Ciò può comportare anche violazioni del marchio o della proprietà intellettuale. Tali attacchi possono comportare notevoli perdite finanziarie per le organizzazioni.
- I continui tentativi di spoofing possono portare al furto di identità e all'accesso non autorizzato ai conti.
- Le organizzazioni che non riescono a proteggere i propri domini di posta elettronica possono incorrere in multe o conseguenze legali, in base a diversi schemi di conformità.
- Le e-mail spoofate rivolte a fornitori o venditori possono compromettere le relazioni commerciali, causando transazioni fraudolente, violazioni di dati o interruzioni operative.
Cosa devo fare se il mio dominio è stato sottoposto a spoofing?
Se si sospetta che il proprio indirizzo e-mail sia stato utilizzato in un attacco di spoofing, è possibile seguire le best practice indicate di seguito per gestire gli incidenti di spoofing del dominio:
- Controllare i rapporti DMARC per verificare la presenza di tentativi di spoofing.
- Rafforzare la politica DMARC (ad esempio, passando da nessuno a quarantena o rifiuto).
- Informare gli utenti e i team interni interessati
- Segnalate gli incidenti di spoofing al vostro provider di posta elettronica o ai team di sicurezza.
- Utilizzare strumenti per tracciare e analizzare i tentativi di spoofing.
Migliori pratiche per evitare lo spoofing delle e-mail
Di seguito sono riportate alcune best practice collaudate che possono aiutarvi a evitare lo spoofing delle e-mail:
Sensibilizzare i dipendenti
I dipendenti svolgono un ruolo cruciale nella prevenzione dello spoofing delle e-mail, poiché sono spesso la prima linea di difesa contro gli attacchi. Le organizzazioni dovrebbero fornire una formazione per riconoscere i tentativi di phishing, verificare i dettagli del mittente e rispondere in modo appropriato alle e-mail sospette. Istruire i dipendenti su cosa cercare e come rispondere ai tentativi di spoofing può ridurre significativamente il rischio di cadere vittima di questi attacchi.
Mantenere elenchi di mittenti accurati (record SPF)
Rivedete e aggiornate regolarmente il vostro record SPF per assicurarvi che elenchi solo gli indirizzi IP attualmente autorizzati e i fornitori terzi autorizzati a inviare e-mail per vostro conto. Se interrompete i servizi con un fornitore, rimuovete immediatamente i suoi IP dal vostro record SPF. Un record non aggiornato potrebbe consentire l'utilizzo del sistema di un ex fornitore compromesso per l'invio di e-mail spoofed che superano i controlli SPF per il vostro dominio.
Implementare suggerimenti pratici per la sicurezza delle e-mail
Incoraggiate gli utenti a non aprire gli allegati provenienti da mittenti sconosciuti, a controllare le incongruenze negli indirizzi e-mail e a segnalare i messaggi sospetti. Queste piccole ma efficaci abitudini possono ridurre al minimo il rischio di attacchi di spoofing.
Disattivare i rapporti di mancata consegna (NDR)
Impedire gli NDR da e-mail di spam o spoofing assicura che gli aggressori non ricevano un feedback che potrebbe aiutarli a perfezionare le loro tattiche. Questo semplice passo può ridurre l'esposizione a futuri tentativi di spoofing.
Strumenti e risorse per combattere lo spoofing delle e-mail
Esistono diversi strumenti che possono essere utilizzati per combattere lo spoofing. Essi sono:
Strumenti di appiattimento SPF
I record SPF possono rompersi a causa di un numero eccessivo di ricerche DNS. Questo può essere evitato utilizzando gli strumenti di appiattimento SPF con le macro SPF di ottimizzazione. Mentre le soluzioni di appiattimento tradizionali o dinamiche possono offrire un sollievo temporaneo, gli strumenti avanzati di appiattimento SPF, che spesso utilizzano le macro SPF, possono essere più efficaci. Alcuni strumenti offrono anche funzioni come controlli periodici per monitorare le modifiche degli indirizzi IP da parte dei provider di servizi e-mail, contribuendo a mantenere il record SPF accurato e aggiornato.
Lettori XML DMARC
I rapporti DMARC vengono inviati in formato XML, che può essere difficile da interpretare manualmente. I lettori XML DMARC analizzano questi rapporti in un formato di facile lettura, fornendo informazioni sui fallimenti dell'autenticazione, sui mittenti non autorizzati e sui tentativi di spoofing del dominio. Questo aiuta le aziende a monitorare la propria posizione di sicurezza delle e-mail e a intraprendere azioni correttive.
Soluzioni di sicurezza e-mail di terze parti
Le soluzioni avanzate per la sicurezza delle e-mail utilizzano una Threat Intelligence avanzata basata sull'intelligenza artificiale per rilevare e prevedere i modelli e le tendenze di attacco. Queste nuove tecnologie possono prevenire le e-mail di spoofing prima ancora che raggiungano le caselle di posta! Ad esempio, PowerDMARC utilizza analisi di Predictive Threat Intelligence per prevedere le minacce informatiche basate sulle e-mail prima del loro insorgere.
Parole finali
Sebbene lo spoofing delle e-mail sia una delle minacce più persistenti nel mondo informatico, le aziende possono implementare gli strumenti e le strategie giuste per prevenirlo. Attraverso un monitoraggio costante, seguendo le best practice di autenticazione delle e-mail e investendo in strumenti anti-spoofing, è possibile mitigare la maggior parte del rischio.
Prevenendo lo spoofing delle e-mail, potete proteggere il vostro marchio da perdite finanziarie su larga scala e dalla prossima grande violazione dei dati. È il momento di diventare proattivi iscrivendosi a una prova gratuita di prova gratuita del DMARCe iniziate a proteggere i vostri domini dallo spoofing!
- Errori di allineamento dei domini DKIM - Correzioni RFC 5322 - 5 giugno 2025
- DMARCbis spiegato: cosa sta cambiando e come prepararsi - 19 maggio 2025
- Che cos'è il BIMI? Guida completa ai requisiti e alla configurazione del logo BIMI - 21 aprile 2025