Che cos'è un attacco di impersonificazione?

Blog

Questo articolo condivide informazioni dettagliate sugli attacchi di impersonificazione, sui tipi di attacco di impersonificazione e sui consigli per proteggersi dall'impersonificazione delle e-mail.

di Ahona Rudra

Tempo di lettura: 9 min
Che cos'è un attacco di impersonificazione?
Indice dei contenuti-

Un attacco di impersonificazione è un tentativo di ottenere un accesso non autorizzato ai sistemi informatici mascherandosi da utenti autorizzati. Questi attacchi basati sull'identità mirano specificamente a compromettere le identità digitali di individui o organizzazioni, sfruttando le vulnerabilità relative alla gestione delle identità e degli accessi per rubare informazioni come nomi utente, password o dati personali, commettere frodi o condurre altre attività dannose.

Secondo la Security Magazineè stato registrato uno sconcertante aumento del 131% del fenomeno del whaling e delle imitazioni di dirigenti tra il primo trimestre del 2020 e il primo trimestre del 2021, con il 55% dei professionisti della sicurezza informatica che ha dichiarato che un dirigente della propria azienda è stato imitato. Inoltre, il rapporto "Trends in Securing Digital Identities" del 2023 rapporto dell'Identity Defined Security Alliance (IDSA) ha rivelato che il 90% delle organizzazioni ha subito almeno una violazione legata alle identità digitali nell'ultimo anno. Questi attacchi sono costati alle aziende 1,8 miliardi di dollari di perdite solo l'anno scorso e la mancata protezione dei dati dei clienti può portare a pesanti sanzioni normative e a costose controversie legali, come si è visto in casi come l'accordo di Equifax da 575 milioni di dollari a seguito di una violazione.

Il problema è così pervasivo che 1 e-mail su 3.226 ricevute (una ogni 24 giorni) da un dirigente è un tentativo di impersonificazione.

In questo articolo vi spieghiamo tutto quello che c'è da sapere su un attacco di impersonificazione, sulle sue tipologie, su come rilevarlo e su come difendere la vostra organizzazione da esso.

I punti chiave da prendere in considerazione

  1. Gli attacchi di impersonificazione, una forma chiave di minacce informatiche basate sull'identità, utilizzano l'ingegneria sociale per imitare entità fidate a scopo di accesso non autorizzato o di frode.
  2. Questi attacchi, che di recente hanno colpito il 90% delle organizzazioni, comportano rischi finanziari, reputazionali e legali significativi e richiedono un'attenzione urgente.
  3. Le tattiche vanno dallo spoofing di e-mail e domini falsi (phishing) allo sfruttamento di password riutilizzate (credential stuffing) e all'intercettazione delle comunicazioni (MitM).
  4. La vigilanza contro i segnali sospetti (urgenza, richieste strane, e-mail errate) e una solida formazione degli utenti sono le prime linee di difesa fondamentali.
  5. Una difesa tecnica a più livelli, che includa un'autenticazione forte (MFA), la verifica delle e-mail (DMARC), patch regolari e potenzialmente un modello Zero Trust, è essenziale per la protezione.

Che cos'è un attacco di impersonificazione?

Un attacco di impersonificazione è una forma di ingegneria sociale in cui un aggressore finge di essere qualcun altro o impersona un utente legittimo (o un gruppo di utenti), per ottenere l'accesso a informazioni di cui non è autorizzato a disporre, rubare dati relativi all'identità, commettere frodi o condurre altre attività dannose.

In questo tipo di attacco, l'aggressore utilizza spesso tecniche di social engineering, manipolando la psicologia e la fiducia umana, per ottenere informazioni sul sistema e/o sull'obiettivo, ad esempio fingendosi un membro del reparto IT e chiedendo le credenziali di accesso. Questi attacchi si evolvono continuamente in modo sofisticato, impiegando tecniche avanzate e raccolta di informazioni mirate.

Gli attacchi di impersonificazione possono avvenire di persona, al telefono o online. E possono essere catastrofici se non vengono individuati.

 

Proteggetevi dagli attacchi di impersonificazione con PowerDMARC!

Prova di 15 giorniPrenota una demo

Come viene effettuato un attacco di impersonificazione?

Si parla di impersonificazione quando un malintenzionato finge di essere un utente o un servizio legittimo per accedere a informazioni protette. Gli attacchi di impersonificazione sono facili da eseguire e possono essere molto dannosi, a seconda del tipo di dati che l'aggressore sta cercando di ottenere, portando potenzialmente a significative perdite finanziarie o danni alla reputazione.

Tutto ciò che un aggressore deve fare è raccogliere informazioni sufficienti su un utente o un servizio legittimo per indurre gli altri a pensare che sia chi dice di essere. L'aggressore cercherà quindi di indurre il suo obiettivo (o i suoi obiettivi) a rivelare informazioni sensibili che altrimenti sarebbero protette da misure di sicurezza.

In molti casi, gli aggressori utilizzano la posta elettronica o altre forme di comunicazione per tentare attacchi di impersonificazione. Inviano e-mail fingendo di essere qualcun altro (il cosiddetto spoofing), che possono includere e-mail di phishing contenenti link che scaricano malware sul sistema di un utente ignaro.

Un altro metodo utilizzato dagli aggressori è il cosiddetto whaling, che consiste nel rubare l'identità di un manager o di un proprietario e nell'inviare e-mail che invitano i dipendenti a trasferire fondi o a fornire altre informazioni sensibili. Poiché l'e-mail sembra provenire da una persona autorevole, molti dipendenti seguono le istruzioni senza fare domande.

Come vengono pianificati gli attacchi di impersonificazione?

Per creare un piano per un attacco di impersonificazione, gli hacker devono innanzitutto raccogliere informazioni sul loro obiettivo. Spesso utilizzano informazioni disponibili pubblicamente, come i profili dei social media e le informazioni disponibili sul sito web dell'azienda. Gli hacker possono utilizzare queste informazioni per creare un personaggio realistico e iniziare a interagire con i dipendenti dell'azienda bersaglio.

L'hacker contatterà i dipendenti utilizzando metodi in linea con quanto ci si aspetta da questo personaggio. L'hacker può inviare e-mail, messaggi di testo o chiamare i dipendenti utilizzando un falso indirizzo e-mail aziendale o un numero di telefono che corrisponde il più possibile all'e-mail o al numero di telefono reali dell'azienda: la differenza c'è, ma è quasi invisibile a occhio nudo.

In questo modo il dipendente ha la sensazione di interagire con una persona conosciuta all'interno dell'organizzazione.

Ecco un esempio di impersonificazione di e-mail:

[email protected]

[email protected]

Come si può vedere qui sopra, le differenze tra le due e-mail sono sottili e facili da non notare, soprattutto se si ricevono centinaia di e-mail al giorno.

Una volta ottenuta la fiducia del dipendente, l'hacker invia un'e-mail che sembra provenire da una fonte aziendale autentica. Queste e-mail spesso contengono link a siti web che richiedono informazioni personali o azioni da parte del dipendente (ad esempio, il download di file). Questi siti web e file sono infettati da malware che consentono agli hacker di accedere ai dati, rubare informazioni personali o introdurre altri attacchi informatici nella rete aziendale.

Indirizzi di mittenti contraffatti come questi vengono rifiutati attraverso una rigida politica politica DMARCche potete sfruttare per le vostre e-mail per rimanere protetti dagli attacchi di impersonificazione.

Alcune tattiche comuni di attacco di impersonificazione

Ci sono diversi modi in cui gli aggressori possono cercare di impersonare voi o qualcuno che conoscete. Ecco alcune tattiche comuni:

1. Attacco all'account e-mail gratuito

L'aggressore utilizza un servizio di posta elettronica gratuito per inviare messaggi da un indirizzo e-mail simile a quello utilizzato dall'obiettivo. Questa tattica può essere utilizzata per convincere le persone a visitare un sito Web dannoso, a scaricare malware o a fornire informazioni come password o numeri di carte di credito.

2. Attacco al dominio dei cugini

Nell'attacco del dominio cugino, l'aggressore crea un sito web che sembra quasi identico a quello della vostra banca, ma che termina con .com anziché .org o .net, ad esempio. Quindi invia messaggi di posta elettronica da questo sito falso: quando le persone fanno clic sui link contenuti in tali messaggi, vengono indirizzate al sito falso anziché a quello della banca reale.

3. Attacco al mittente della busta contraffatta

L'aggressore crea un'e-mail con un indirizzo di mittente che sembra provenire da un'azienda nota, come "[email protected]". Poiché questo indirizzo sembra legittimo, aggira la maggior parte dei filtri dei server di posta. L'aggressore prende quindi di mira le vittime con il suo messaggio, inducendole a cliccare su link o ad aprire allegati che permettono al malware di infettare i loro computer.

4. Attacco al mittente con intestazione contraffatta

L'attacco al mittente dell'intestazione è un tipo di spoofing delle e-mail che può essere utilizzato per far credere che un messaggio sia stato inviato da una persona diversa dalla sua vera fonte. In questo tipo di attacco, il campo "mittente" nell'intestazione di un'e-mail viene modificato per includere un indirizzo diverso da quello reale che ha inviato il messaggio. Ciò può avvenire modificando i campi "From:" o "Return-Path:", o entrambi. L'obiettivo di questi attacchi è far credere che un'e-mail sia stata inviata da un'altra persona, ad esempio un socio d'affari o un amico, per indurre i destinatari ad aprire i messaggi di qualcuno che conoscono.

5. Attacco all'account e-mail compromesso

In questo attacco, un aggressore ottiene l'accesso a un account di posta elettronica legittimo e lo utilizza per inviare e-mail e messaggi ad altre persone dell'organizzazione. L'attaccante può affermare di essere un dipendente con conoscenze o autorità particolari, oppure può impersonare un'altra persona che ha conoscenze o autorità particolari.

6. Attacco alle frodi del CEO

In questo attacco, gli aggressori impersonano l'amministratore delegato di un'azienda e cercano di convincere i dipendenti o i clienti che hanno bisogno di accedere a informazioni sensibili. L'aggressore utilizza spesso tecniche di social engineering, come e-mail di phishing o telefonate che fanno sembrare che la chiamata provenga dal reparto IT dell'azienda. Spesso utilizza un linguaggio specifico del vostro settore o della vostra azienda per sembrare più legittimo e affidabile, mentre chiede informazioni sensibili come password o numeri di carte di credito.

7. Attacco Man-in-the-Middle (MITM)

Questo tipo di attacco prevede che l'aggressore intercetti le vostre comunicazioni con un servizio legittimo e poi le ritrasmetta al servizio legittimo come se provenissero da voi. In questo modo, l'aggressore può origliare la vostra comunicazione, modificarla o impedirla del tutto.

8. Imbottimento di credenziali

Questo attacco sfrutta la pratica comune di riutilizzare le password su più servizi online. Gli aggressori ottengono elenchi di nomi utente e password rubati da precedenti violazioni di dati (spesso disponibili sul dark web) e provano sistematicamente queste credenziali su altri siti web o sistemi. Se un utente ha riutilizzato la propria password, l'attaccante ottiene un accesso non autorizzato. La violazione dei dati di Target del 2013, che ha compromesso i dati di oltre 41 milioni di consumatori e ha portato a un accordo di 18,5 milioni di dollari, è stata favorita da aggressori che hanno utilizzato credenziali rubate per accedere a un sistema del fornitore collegato.

Come riconoscere un attacco di impersonificazione?

Senso di urgenza: L'aggressore può esortare il destinatario ad agire immediatamente (come ad esempio avviare un bonifico immediato, altrimenti il suo conto verrà bloccato in modo permanente) utilizzando un tono urgente nelle sue e-mail. In questo modo le vittime vengono spinte ad agire senza riflettere.

Riservatezza: L'aggressore può indicare che le informazioni richieste devono essere mantenute private, sottintendendo che la loro divulgazione potrebbe portare a gravi conseguenze.

Richiesta di condividere informazioni sensibili: L'aggressore potrebbe chiedervi informazioni che solo la vostra banca conosce, come il numero di conto o la password. Potrebbe anche chiedervi di condividere le vostre credenziali aziendali, che sono informazioni private a cui avete accesso solo voi. Ciò consentirebbe loro di accedere ai database dell'azienda e di far trapelare informazioni sensibili.

Indirizzi e-mail modificati: Ad esempio, se ricevete un'e-mail da qualcuno che finge di provenire da "Amazon" e vi chiede di accedere e aggiornare i dati del vostro account, ma l'indirizzo e-mail è in realtà "[email protected]", potrebbe trattarsi di un attacco di impersonificazione.

Email scritte male: Le e-mail di phishing sono scritte male, spesso con errori ortografici e grammaticali, perché sono tipicamente generate in massa.

Presenza di link o allegati dannosi: I link e gli allegati dannosi sono un modo comune per condurre un attacco di impersonificazione. Questi tipi di attacchi possono essere identificati dalla presenza di:

  • Link che si aprono in una nuova scheda invece che nella scheda corrente.
  • Allegati con titoli o estensioni di file strani (come "attachment" o ".zip").
  • Allegati che contengono un file eseguibile (come .exe).

Proteggersi dalle imitazioni

La prevenzione degli attacchi basati sull'identità, come l'impersonificazione, richiede un approccio a più livelli che combini la consapevolezza degli utenti e i controlli tecnici.

1. Formazione sulla sicurezza informatica: Le aziende devono essere consapevoli che la formazione sulla cybersecurity è essenziale. La formazione deve comprendere:

  • Come gli aggressori possono impersonare gli utenti e ottenere l'accesso ai sistemi
  • Come riconoscere i segnali che indicano che qualcuno sta cercando di spacciarsi per voi, in modo da poter intervenire prima che si verifichino danni.
  • Comprendere l'importanza dei controlli preventivi

2. Autenticazione forte: Implementare metodi di autenticazione solidi.

  • Autenticazione a più fattori (MFA): Abilitare l'MFA ogni volta che è possibile. Ciò richiede agli utenti di fornire due o più fattori di verifica (ad esempio, password più OTP, risposta biometrica o domanda di sicurezza), impedendo in modo significativo l'accesso non autorizzato anche in caso di furto delle credenziali.
  • Pratiche di password forti: Incoraggiare gli utenti a creare password complesse e uniche per i diversi account. Promuovere l'uso di gestori di password affidabili per generare e memorizzare in modo sicuro password forti. Evitare schemi facilmente intuibili.

3. Sicurezza delle e-mail: Proteggete il vostro canale di comunicazione principale.

  • Protezione del dominio: Il dominio di posta elettronica dell'azienda deve essere protetto contro l'impersonificazione. Utilizzate un dominio specifico per la vostra azienda (ad esempio, "@yourbusinessnamehere.com") piuttosto che provider generici come "@gmail.com".
  • Implementazione di DMARC: Implementare protocolli di autenticazione delle e-mail come DMARC (Domain-based Message Authentication, Reporting & Conformance). Il DMARC consente ai proprietari dei domini di specificare come i server di posta elettronica riceventi debbano gestire le e-mail che non superano i controlli SPF (Sender Policy Framework) o DKIM (DomainKeys Identified Mail), contribuendo a bloccare le e-mail contraffatte. L'applicazione di una politica DMARC rigorosa (p=rifiuto o p=quarantena) impedisce l'uso non autorizzato del vostro dominio in attacchi di phishing e impersonificazione.
  • Filtro e-mail: Utilizzate soluzioni avanzate di sicurezza delle e-mail in grado di rilevare link, allegati e anomalie del mittente sospetti.

4. Sicurezza del sistema e del software: Mantenere un ambiente informatico sicuro.

  • Aggiornamenti regolari e gestione delle patch: Mantenere aggiornati i sistemi operativi, le applicazioni e i software di sicurezza con le ultime patch di sicurezza per risolvere le vulnerabilità note sfruttate dagli aggressori.
  • Soluzioni di sicurezza: Installare e mantenere un software antivirus/anti-malware affidabile e considerare l'implementazione di sistemi di rilevamento delle intrusioni (IDS) per monitorare le attività di rete sospette.
  • Eliminare i sistemi obsoleti: Sostituire i sistemi obsoleti che possono presentare vulnerabilità non patchate o controlli di sicurezza deboli, in quanto spesso presi di mira dagli aggressori.

5. Protezione dei dati: Salvaguardare le informazioni sensibili.

  • Crittografia dei dati: Crittografare i dati sensibili sia quando sono archiviati (a riposo) sia quando vengono trasmessi (in transito) per proteggerli anche se intercettati.

6. Adottare un modello di fiducia zero: Implementare una sicurezza sicurezza Zero Trust che presuppone che nessun utente o dispositivo sia intrinsecamente affidabile. L'accesso viene concesso in base alla verifica continua e al principio del minimo privilegio, riducendo al minimo l'impatto potenziale di un'identità compromessa.

Implementando queste misure preventive e promuovendo una cultura consapevole della sicurezza informatica, le organizzazioni possono ridurre significativamente la loro vulnerabilità all'impersonificazione e ad altri attacchi basati sull'identità. Rimanere vigili, adattarsi alle minacce emergenti e formare continuamente i dipendenti sono componenti cruciali di una solida strategia di difesa.

Volete una protezione 24/7 contro l'impersonificazione? PowerDMARC è un fornitore di soluzioni per l'autenticazione delle e-mail, che fornisce servizi volti a consentire alle aziende di proteggere le proprie comunicazioni e-mail. Vi aiutiamo a gestire la reputazione del vostro dominio assicurando che solo le e-mail provenienti da mittenti autorizzati vengano consegnate attraverso gateway protetti, proteggendolo al contempo da spoofing da parte di criminali informatici e phisher.

Ultimi messaggi di Ahona Rudra (vedi tutti)
I 5 migliori strumenti di email marketing per le aziende onlineI 5 migliori strumenti di email marketing per le aziende onlineAggiornamento delle impostazioni di autenticazione DKIM non riuscitoCome risolvere il problema "Aggiornamento delle impostazioni di autenticazione DKIM non riuscito"?