Vi siete mai chiesti se la vostra email di dominio aziendale รจ sicura ? Utilizzate tutti protocolli di autenticazione ? Se non avete mai sentito parlare di spoofing, SPF, DKIM e DMARC allora fareste bene a correre ai ripari. La falsificazione dei vostri messaggi email su dominio aziendale potrebbe essere un gioco da ragazzi. Contattate subito il vostro webmaster per avere notizie in merito oppure contattate la nostra societร INFORMATICA IN AZIENDA www.informaticainazienda.it per passare ad un hosting sicuro e protetto da tutti i pericoli della rete.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Come approfondimento sul tema segue un ottimo articolo di kaspersky dal titolo : “La falsificazione delle e-mail come arma per attaccare le aziende”
Gli attacchi di phishing e gli attacchi Business E-mail Compromise si servono di e-mail false. Ma perchรฉ รจ cosรฌ facile per i cybercriminali renderle cosรฌ convincenti?
A volte รจ facileย individuare le e-mail di phishingย semplicemente controllando il mittente. Tuttavia, non sempre รจ cosรฌ. Far sรฌ che unโe-mail falsa sia praticamente impossibile da riconoscere da una veraย รจย possibile. Se un cybercriminale sa cosa deve fare e come, lโazienda vittima dellโattacco via e-mailย รจ davvero nei guai. La maggior parte delle persone non ci penserebbe due volte prima di cliccare su un link o un file dannoso che ha ricevuto in unโe-mail che sembra provenire dal capo o dal cliente principale; รจ difficile biasimarli, specialmente se non cโรจ modo di capire che si tratta di unaย truffa via posta elettronica.
Ma come รจ possibileย falsificare unโe-mail?ย Lโintervento di Andrew Konstantinov sullโautenticazione della posta elettronica per i penetration tester, allaย 36esima edizione del Chaos Communication Congress, risponde proprio a questa domanda e dร unโidea dellโefficacia dellaย protezione dallโe-mail spoofing.
Problema 1: le e-mail devono essere inviate
La posta elettronica รจ un metodo di comunicazione fondamentale nel mondo moderno e tutti (dalle aziende agli organismi ufficiali), si affidano alle e-mail nelle loro operazioni quotidiane. Anche se non facciamo molto caso alla tecnologia quando tutto fila liscio, se allโimprovviso le e-mail cominciano a sparire, potete stare certi che tutti se ne accorgeranno. Pertanto, lโaffidabilitร della posta elettronicaย รจ generalmente la prioritร assoluta di ogni amministratore di server di posta. La posta elettronica deve semplicemente essere inviata e consegnata, a qualsiasi costo.
La conseguenza รจ che il server di posta elettronica di ogni azienda deve essere compatibile il piรน possibile con tutto il resto, e qui sta il problema in termini diย cybersicurezza: gli standard di posta elettronica sono decisamente datati.
Problema 2: il protocollo e-mail senza autenticazione
Il protocollo principale utilizzato sia per le comunicazioni e-mail client-to-server che server-to-server si chiamaย SMTP. Questo protocollo รจ stato introdotto per la prima volta nel 1982 e aggiornato per lโultima volta nel 2008, piรน di dieci anni fa e, come molti altri antichi standard, lโSMTP รจ un incubo perย la sicurezza online.
Intermezzo promozionale ... continua la lettura dopo il box:
Prima di tutto, vediamo da cosa รจ composto un messaggio di posta elettronica:
Busta SMTP. Questa parte viene utilizzata per le comunicazioni da server a server e non viene mai mostrata nei client di posta elettronica. Essa specifica gli indirizzi del mittente e del destinatario;
I client di posta elettronica mostrano questa parte. ร dove troverete i campi โDaโ, โPerโ, โDataโ e โOggettoโ che vedete in ogni e-mail;
Corpo del messaggio. Il testo dellโe-mail e gli altri contenuti.
Come รจ fatta una e-mail.ย Image source
Il problema principale รจ che lo standard non fornisce alcun mezzo di autenticazione come garanzia di sicurezza online. La responsabilitร per il campo dellโindirizzo del mittente (sia nella bustaย SMTPย che nellโintestazione) รจ completamente a carico del server del mittente e, cosa peggiore, lโindirizzo del mittente nella busta SMTP non deve necessariamente corrispondere a quello dellโintestazione (e lโutente vede solo questโultimo).
Inoltre, sebbene lo standard specifichi unโintestazione per ogni e-mail, lโSMTP non fa rispettare il limite. Se un messaggio contiene piรน di unโintestazione, il client di posta elettronica ne sceglie semplicemente una da mostrare allโutente.
Non ci vuole un hacker professionista per intravedereย il rischio a livello di cybersicurezza: phishing e posta dannosa da parte dei cybercriminali.
Il protocollo di posta elettronica non fornisce alcun mezzo per assicurarsi che unโe-mail provenga effettivamente dal mittente indicato.
Problema 3: Il mittente falso potreste essere voi
Per complicare ancora di piรน le cose nel panorama della sicurezza online, ogni comunicazione via e-mail coinvolge due parti, quindi questoย problema di non autenticazione della posta elettronicaย si sviluppa in realtร in due sotto-problemi.
Da un lato, volete essere sicuri che ogni e-mail ricevuta sia stata effettivamente inviata dallโindirizzo indicato. Dallโaltro, probabilmente volete evitare che altre persone inviino e-mail che sembrano provenire dal vostro indirizzo. Purtroppo, lo standard di sicurezza non puรฒ essere dโaiuto in questo senso.
Non cโรจ da stupirsi che, avendo abusato delย protocollo SMTPย in molte occasioni, si siano iniziate a escogitare nuove tecnologie per correggere i difetti di sicurezza menzionati.
Tentativo di correzione 1: Sender Policy Framework (SPF)
Lโidea alla base del Sender Policy Framework (SPF) รจ piuttosto semplice: il server ricevente dovrebbe essere in grado di verificare se lโindirizzo del server che ha effettivamente inviato unโe-mail corrisponda allโindirizzo del vero server di posta elettronica associato al dominio.
Purtroppo, questo รจ piรน facile a dirsi che a farsi. Loย standard SMTPย non dispone di alcun mezzo per effettuare taleย controllo di sicurezza, per cui qualsiasiย metodo di autenticazioneย dovrebbe essere aggiunto a quanto esistente. Per far sรฌ che questa tecnologia diventi uno โstandard propostoโ, ci sono voluti dieci anni. Ad oggi, solo il 55% (circa di 1 milione di server) utilizza SPF, e la maggior parte utilizza politiche piuttosto deboli, il che non garantisce laย protezione della posta elettronica.
SPF deve affrontare anche molti altri problemi, come unโarchitettura confusa che rende facile una configurazione errata, modi per bypassarla usando altri server ospitati sullo stesso indirizzo, e cosรฌ via. Ma ilย difetto piรน grave di SPFย in termini di cybersicurezza รจ che controlla solo lโindirizzo indicato nella busta SMTP e ignora il campo โDaโ nellโintestazione, cioรจ quello che un utente vede effettivamente.
Conclusioni:
SPF aiuta a controllare se unโe-mail proviene da un vero server;
Lโindirizzo visibile agli utenti puรฒ comunque essere falsificato.
Tentativo di correzione 2: DomainKeys Identified Mail (DKIM)
DomainKeys Identified Mailย affronta il problema cybersicurezza in modo diverso: DKIM firma lโintestazione del messaggio e parte del corpo del messaggio utilizzando una chiave privata, e la firma puรฒ essere verificata utilizzando una chiave pubblica presente nel Domain Name System.
Vale la pena ricordare che ilย DKIMย non dovrebbe cifrare lโintero messaggio. Piuttosto, vi aggiunge unโaddendum con una firma cifrata, e questo รจ un problema per laย sicurezza della posta elettronica. La parte di cifratura รจ difficile da modificare, ma cancellare completamente la firma e creare un messaggio falso รจ facile, e i risultati sono impercettibili.
DKIMย รจ difficile da implementare perchรฉ comporta lโemissione e la gestione di chiavi di cifratura. Inoltre, un DKIM mal configuratoย puรฒ permettere a un cybercriminale di conservare la firma originale del DKIMย in un messaggio, cambiando completamente lโintestazione e il corpo.
Conclusioni:
DKIM vi permette di firmare digitalmente i messaggi, aiuta il server ricevente a confermare che un messaggio provenga realmente da voi;
ร difficile da implementare perchรฉ comporta la gestione di chiavi di cifratura;
I cybercriminali possono semplicemente cancellare la firma mentre falsificano unโe-mail a vostro nome;
Alcune configurazioni errate possono portare a messaggi falsi contenenti firme DKIM autentiche.
Tentativo di correzione 3: Domain-based Message Authentication, Reporting & Conformance (DMARC)
Nonostante il nome cosรฌ lungo, ilย Domain-based Message Authentication, Reporting and Conformanceย (protocollo di autenticazione dei messaggi, reporting e conformitร basato sul dominio) รจ in realtร piรน facile da capire rispetto allโSPF o al DKIM. Si tratta in realtร di unโestensione dei due che corregge le loro mancanze piรน evidenti in termini di sicurezza.
In primo luogo, DMARC aiuta lโamministratore del dominio a specificare quale meccanismo di protezione (SPF, DKIM, o entrambi) sta usando il server, il che corregge realmente il meccanismo DKIM. In secondo luogo, corregge anche lโSPF, fornendo un controllo dellโindirizzo specificato nel campo โdaโ dellโintestazione (quello effettivamente visibile allโutente), oltre al controllo dellโindirizzo del mittente nella busta SMTP.
Il rovescio della medaglia รจ che ilย protocollo DMARCย รจ relativamente nuovo, non รจ ancora uno standard di sicurezza vero e proprio (lโRFC 7489ย non lo definisce come standard o come standard proposto, ma solo come โInformativoโ), e non รจ cosรฌ diffuso come dovrebbe essere. Secondoย questo studioย su 20 mila domini, nel 2019 solo il 20% ha adottato il DMARC , e solo lโ8,4% ha adottato politiche rigide di sicurezza.
Purtroppo lโutilizzo del DMARC non รจ ancora diffuso e in molti casi viene utilizzata senza seguire โalcunaโ politica .
Conclusioni: Come proteggersi dallโe-mail spoofing
Riassumendo: laย falsificazione di e-mailย รจ ancora possibile perchรฉ il protocollo SMTP non รจ stato progettato pensando alla sicurezza, quindi permette a un cybercriminale di inserire lโindirizzo di qualsiasi mittente in unโe-mail falsificata. Negli ultimi decenni sono emersi alcuniย meccanismi di protezione onlineย (SPF, DKIM e DMARC). Affinchรฉ questi meccanismi siano piรน efficaci, devono essere utilizzati e implementati correttamente dal maggior numero possibile di server di posta elettronica. In un mondo ideale, dovrebbero essere implementati su ogni server e-mail su Internet.
Inoltre, bisogna considerare che alcuni server e-mail potrebbero aggiungere qualcosa ai messaggi per via diย errori di configurazione della posta elettronicaย e ciรฒ renderebbe inefficace la verifica DKIM. Inoltre, non dobbiamo dimenticare che queste tecnologie aiutano a gestire minacce su larga scala, ma per proteggere la vostra azienda daย attacchi e-mail sofisticatiย dovreste avvalervi diย soluzioni di protezione aggiuntiveย da installare sia sulle workstation, sia sui server e-mail.
Ecco alcune raccomandazioni per laย protezione della posta elettronica:
Utilizzate lโSPF e assicuratevi che sia configurato correttamente. Tenete anche presente che i cybercriminali piรน ingegnosi possono bypassare il SPF (maggiori dettagli qui);
Implementate il DKIM per una migliore protezione. Potrebbe essere un poโ piรน difficile, ma vale la pena considerarlo. E ancora una volta, assicuratevi che sia configurato correttamente (alcuni suggerimenti su cosa cercano i cybercriminaliย );
Adottare ilย DMARCย sarebbe lโideale, perchรฉ corregge la maggior parte delleย falle di SPF e DKIMย che potrebbero essere sfruttate;
Controllate la vostra configurazione anche per le e-mail in arrivo;
Avvaletevi diย soluzioni di sicurezzaย che supportino i meccanismi moderni di autenticazione. Ad esempio, potete utilizzare Kaspersky Security for Mail Servers o Kaspersky Security for Microsoft Office 365.
FONTE : https://www.kaspersky.it/blog/36c3-fake-emails/19876/
