{"id":19876,"date":"2020-02-11T14:31:15","date_gmt":"2020-02-11T12:31:15","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=19876"},"modified":"2020-11-12T20:02:34","modified_gmt":"2020-11-12T18:02:34","slug":"36c3-fake-emails","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/36c3-fake-emails\/19876\/","title":{"rendered":"La falsificazione delle e-mail come arma per attaccare le aziende"},"content":{"rendered":"<p>A volte \u00e8 facile <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/email-account-stealing\/17885\/\" target=\"_blank\" rel=\"noopener\">individuare le e-mail di phishing<\/a><\/strong> semplicemente controllando il mittente. Tuttavia, non sempre \u00e8 cos\u00ec. Far s\u00ec che un\u2019e-mail falsa sia praticamente impossibile da riconoscere da una vera <em>\u00e8 <\/em>possibile. Se un cybercriminale sa cosa deve fare e come, l\u2019azienda vittima dell\u2019<strong><a href=\"https:\/\/www.kaspersky.it\/blog\/bec-toyota\/18030\/\" target=\"_blank\" rel=\"noopener\">attacco via e-mail<\/a><\/strong> \u00e8 davvero nei guai. La maggior parte delle persone non ci penserebbe due volte prima di cliccare su un link o un file dannoso che ha ricevuto in un\u2019e-mail che sembra provenire dal capo o dal cliente principale; \u00e8 difficile biasimarli, specialmente se non c\u2019\u00e8 modo di capire che si tratta di una <strong>truffa via posta elettronica<\/strong>.<\/p>\n<p>Ma come \u00e8 possibile <strong>falsificare un\u2019e-mail<\/strong>? <a href=\"https:\/\/media.ccc.de\/v\/36c3-10730-email_authentication_for_penetration_testers\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">L\u2019intervento di Andrew Konstantinov sull\u2019autenticazione della posta elettronica per i penetration tester<\/a>, alla <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/tag\/36c3\/\" target=\"_blank\" rel=\"noopener\">36esima edizione del Chaos Communication Congress<\/a><\/strong>, risponde proprio a questa domanda e d\u00e0 un\u2019idea dell\u2019efficacia della <strong>protezione dall\u2019e-mail spoofing<\/strong>.<\/p>\n<h2>Problema 1: le e-mail devono essere inviate<\/h2>\n<p>La posta elettronica \u00e8 un metodo di comunicazione fondamentale nel mondo moderno e tutti (dalle aziende agli organismi ufficiali), si affidano alle e-mail nelle loro operazioni quotidiane. Anche se non facciamo molto caso alla tecnologia quando tutto fila liscio, se all\u2019improvviso le e-mail cominciano a sparire, potete stare certi che tutti se ne accorgeranno. Pertanto, l\u2019<strong>affidabilit\u00e0 della posta elettronica <\/strong>\u00e8 generalmente la priorit\u00e0 assoluta di ogni amministratore di server di posta. La posta elettronica deve semplicemente essere inviata e consegnata, a qualsiasi costo.<\/p>\n<p>La conseguenza \u00e8 che il server di posta elettronica di ogni azienda deve essere compatibile il pi\u00f9 possibile con tutto il resto, e qui sta il problema in termini di <strong>cybersicurezza<\/strong>: gli standard di posta elettronica sono decisamente datati.<\/p>\n<h2>Problema 2: il protocollo e-mail senza autenticazione<\/h2>\n<p>Il protocollo principale utilizzato sia per le comunicazioni e-mail client-to-server che server-to-server si chiama <strong>SMTP<\/strong>. Questo protocollo \u00e8 stato introdotto per la prima volta nel 1982 e aggiornato per l\u2019ultima volta nel 2008, pi\u00f9 di dieci anni fa e, come molti altri antichi standard, l\u2019SMTP \u00e8 un incubo per <strong>la sicurezza online<\/strong>.<\/p>\n<p>Prima di tutto, vediamo da cosa \u00e8 composto un messaggio di posta elettronica:<\/p>\n<ul>\n<li>Busta SMTP. Questa parte viene utilizzata per le comunicazioni da server a server e non viene mai mostrata nei client di posta elettronica. Essa specifica gli indirizzi del mittente e del destinatario;<\/li>\n<li>I client di posta elettronica mostrano questa parte. \u00c8 dove troverete i campi \u201cDa\u201d, \u201cPer\u201d, \u201cData\u201d e \u201cOggetto\u201d che vedete in ogni e-mail;<\/li>\n<li>Corpo del messaggio. Il testo dell\u2019e-mail e gli altri contenuti.<\/li>\n<\/ul>\n<div id=\"attachment_19878\" style=\"width: 1356px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-19878\" class=\"wp-image-19878 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2020\/02\/11141423\/36c3-fake-emails-1.jpg\" alt=\"Come \u00e8 fatta una e-mail\" width=\"1346\" height=\"700\"><p id=\"caption-attachment-19878\" class=\"wp-caption-text\">Come \u00e8 fatta una e-mail. <a href=\"https:\/\/cdn.media.ccc.de\/congress\/2019\/slides-pdf\/36c3-10730-email_authentication_for_penetration_testers.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Image source<\/a><\/p><\/div>\n<p>Il problema principale \u00e8 che lo standard non fornisce alcun mezzo di autenticazione come garanzia di sicurezza online. La responsabilit\u00e0 per il campo dell\u2019indirizzo del mittente (sia nella busta <strong>SMTP <\/strong>che nell\u2019intestazione) \u00e8 completamente a carico del server del mittente e, cosa peggiore, l\u2019indirizzo del mittente nella busta SMTP non deve necessariamente corrispondere a quello dell\u2019intestazione (e l\u2019utente vede solo quest\u2019ultimo).<\/p>\n<p>Inoltre, sebbene lo standard specifichi un\u2019intestazione per ogni e-mail, l\u2019SMTP non fa rispettare il limite. Se un messaggio contiene pi\u00f9 di un\u2019intestazione, il client di posta elettronica ne sceglie semplicemente una da mostrare all\u2019utente.<\/p>\n<p>Non ci vuole un hacker professionista per intravedere <strong>il rischio a livello di cybersicurezza<\/strong>: phishing e posta dannosa da parte dei cybercriminali.<\/p>\n<blockquote><p>Il protocollo di posta elettronica non fornisce alcun mezzo per assicurarsi che un\u2019e-mail provenga effettivamente dal mittente indicato.<\/p>\n<\/blockquote>\n<h2>Problema 3: Il mittente falso potreste essere voi<\/h2>\n<p>Per complicare ancora di pi\u00f9 le cose nel panorama della sicurezza online, ogni comunicazione via e-mail coinvolge due parti, quindi questo <strong>problema di non autenticazione della posta elettronica<\/strong> si sviluppa in realt\u00e0 in due sotto-problemi.<\/p>\n<p>Da un lato, volete essere sicuri che ogni e-mail ricevuta sia stata effettivamente inviata dall\u2019indirizzo indicato. Dall\u2019altro, probabilmente volete evitare che altre persone inviino e-mail che sembrano provenire dal vostro indirizzo. Purtroppo, lo standard di sicurezza non pu\u00f2 essere d\u2019aiuto in questo senso.<\/p>\n<p>Non c\u2019\u00e8 da stupirsi che, avendo abusato del <strong>protocollo SMTP<\/strong> in molte occasioni, si siano iniziate a escogitare nuove tecnologie per correggere i difetti di sicurezza menzionati.<\/p>\n<h2>Tentativo di correzione 1: Sender Policy Framework (SPF)<\/h2>\n<p>L\u2019idea alla base del Sender Policy Framework (<strong>SPF<\/strong>) \u00e8 piuttosto semplice: il server ricevente dovrebbe essere in grado di verificare se l\u2019indirizzo del server che ha effettivamente inviato un\u2019e-mail corrisponda all\u2019indirizzo del vero server di posta elettronica associato al dominio.<\/p>\n<p>Purtroppo, questo \u00e8 pi\u00f9 facile a dirsi che a farsi. Lo <strong>standard SMTP<\/strong> non dispone di alcun mezzo per effettuare tale <strong>controllo di sicurezza<\/strong>, per cui qualsiasi <strong>metodo di autenticazione<\/strong> dovrebbe essere aggiunto a quanto esistente. Per far s\u00ec che questa tecnologia diventi uno \u201cstandard proposto\u201d, ci sono voluti dieci anni. Ad oggi, solo il 55% (circa di 1 milione di server) utilizza SPF, e la maggior parte utilizza politiche piuttosto deboli, il che non garantisce la <strong>protezione della posta elettronica<\/strong>.<\/p>\n<p>SPF deve affrontare anche molti altri problemi, come un\u2019architettura confusa che rende facile una configurazione errata, modi per bypassarla usando altri server ospitati sullo stesso indirizzo, e cos\u00ec via. Ma il <strong>difetto pi\u00f9 grave di SPF<\/strong> in termini di cybersicurezza \u00e8 che controlla solo l\u2019indirizzo indicato nella busta SMTP e ignora il campo \u201cDa\u201d nell\u2019intestazione, cio\u00e8 quello che un utente vede effettivamente.<\/p>\n<p><strong>Conclusioni:<\/strong><\/p>\n<ul>\n<li>SPF aiuta a controllare se un\u2019e-mail proviene da un vero server;<\/li>\n<li>L\u2019indirizzo visibile agli utenti pu\u00f2 comunque essere falsificato.<\/li>\n<\/ul>\n<h2>Tentativo di correzione 2: DomainKeys Identified Mail (DKIM)<\/h2>\n<p><strong>DomainKeys Identified Mail<\/strong> affronta il problema cybersicurezza in modo diverso: DKIM firma l\u2019intestazione del messaggio e parte del corpo del messaggio utilizzando una chiave privata, e la firma pu\u00f2 essere verificata utilizzando una chiave pubblica presente nel Domain Name System.<\/p>\n<p>Vale la pena ricordare che il<strong> DKIM<\/strong> non dovrebbe cifrare l\u2019intero messaggio. Piuttosto, vi aggiunge un\u2019addendum con una firma cifrata, e questo \u00e8 un problema per la <strong>sicurezza della posta elettronica<\/strong>. La parte di cifratura \u00e8 difficile da modificare, ma cancellare completamente la firma e creare un messaggio falso \u00e8 facile, e i risultati sono impercettibili.<\/p>\n<p><strong>DKIM <\/strong>\u00e8 difficile da implementare perch\u00e9 comporta l\u2019emissione e la gestione di chiavi di cifratura. Inoltre, un DKIM mal configurato <strong><a href=\"https:\/\/noxxi.de\/research\/breaking-dkim-on-purpose-and-by-chance.html\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">pu\u00f2 permettere a un cybercriminale di conservare la firma originale del DKIM<\/a><\/strong> in un messaggio, cambiando completamente l\u2019intestazione e il corpo.<\/p>\n<p><strong>Conclusioni:<\/strong><\/p>\n<ul>\n<li>DKIM vi permette di firmare digitalmente i messaggi, aiuta il server ricevente a confermare che un messaggio provenga realmente da voi;<\/li>\n<li>\u00c8 difficile da implementare perch\u00e9 comporta la gestione di chiavi di cifratura;<\/li>\n<li>I cybercriminali possono semplicemente cancellare la firma mentre falsificano un\u2019e-mail a vostro nome;<\/li>\n<li>Alcune configurazioni errate possono portare a messaggi falsi contenenti firme DKIM autentiche.<\/li>\n<\/ul>\n<h2>Tentativo di correzione 3: Domain-based Message Authentication, Reporting &amp; Conformance (DMARC)<\/h2>\n<p>Nonostante il nome cos\u00ec lungo, il <strong>Domain-based Message Authentication, Reporting and Conformance<\/strong> (protocollo di autenticazione dei messaggi, reporting e conformit\u00e0 basato sul dominio) \u00e8 in realt\u00e0 pi\u00f9 facile da capire rispetto all\u2019SPF o al DKIM. Si tratta in realt\u00e0 di un\u2019estensione dei due che corregge le loro mancanze pi\u00f9 evidenti in termini di sicurezza.<\/p>\n<p>In primo luogo, DMARC aiuta l\u2019amministratore del dominio a specificare quale meccanismo di protezione (SPF, DKIM, o entrambi) sta usando il server, il che corregge realmente il meccanismo DKIM. In secondo luogo, corregge anche l\u2019SPF, fornendo un controllo dell\u2019indirizzo specificato nel campo \u201cda\u201d dell\u2019intestazione (quello effettivamente visibile all\u2019utente), oltre al controllo dell\u2019indirizzo del mittente nella busta SMTP.<\/p>\n<p>Il rovescio della medaglia \u00e8 che il <strong>protocollo DMARC<\/strong> \u00e8 relativamente nuovo, non \u00e8 ancora uno standard di sicurezza vero e proprio (l\u2019<a href=\"https:\/\/noxxi.de\/research\/breaking-dkim-on-purpose-and-by-chance.html\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">RFC 7489<\/a> non lo definisce come standard o come standard proposto, ma solo come \u201cInformativo\u201d), e non \u00e8 cos\u00ec diffuso come dovrebbe essere. Secondo <a href=\"https:\/\/s3.amazonaws.com\/250ok-wordpress\/wp-content\/uploads\/2019\/07\/09140509\/Global-DMARC-Adoption-2019.pdf\" target=\"_blank\" rel=\"noopener nofollow\">questo studio<\/a> su 20 mila domini, nel 2019 solo il 20% ha adottato il DMARC , e solo l\u20198,4% ha adottato politiche rigide di sicurezza.<\/p>\n<div id=\"attachment_19879\" style=\"width: 1356px\" class=\"wp-caption alignnone\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-19879\" class=\"wp-image-19879 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/89\/2020\/02\/11141836\/36c3-fake-emails-2.jpg\" width=\"1346\" height=\"662\"><p id=\"caption-attachment-19879\" class=\"wp-caption-text\">Purtroppo l\u2019utilizzo del DMARC non \u00e8 ancora diffuso e in molti casi viene utilizzata senza seguire \u201calcuna\u201d politica . <a href=\"https:\/\/s3.amazonaws.com\/250ok-wordpress\/wp-content\/uploads\/2019\/07\/09140509\/Global-DMARC-Adoption-2019.pdf\" target=\"_blank\" rel=\"noopener nofollow\">Image source<\/a><\/p><\/div>\n<p><strong>Conclusioni:<\/strong><\/p>\n<ul>\n<li>Risolve i problemi pi\u00f9 importanti di SPF e DKIM;<\/li>\n<li>Non \u00e8 ancora ampiamente utilizzato, e quindi non \u00e8 cos\u00ec efficace come dovrebbe.<\/li>\n<\/ul>\n<h2>Come proteggersi dall\u2019e-mail spoofing<\/h2>\n<p>Riassumendo: la <strong>falsificazione di e-mail<\/strong> \u00e8 ancora possibile perch\u00e9 il protocollo SMTP non \u00e8 stato progettato pensando alla sicurezza, quindi permette a un cybercriminale di inserire l\u2019indirizzo di qualsiasi mittente in un\u2019<strong>e-mail falsificata<\/strong>. Negli ultimi decenni sono emersi alcuni <strong>meccanismi di protezione online<\/strong> (SPF, DKIM e DMARC). Affinch\u00e9 questi meccanismi siano pi\u00f9 efficaci, devono essere utilizzati e implementati correttamente dal maggior numero possibile di server di posta elettronica. In un mondo ideale, dovrebbero essere implementati su ogni server e-mail su Internet.<\/p>\n<p>Inoltre, bisogna considerare che alcuni server e-mail potrebbero aggiungere qualcosa ai messaggi per via di <strong>errori di configurazione della posta elettronica<\/strong> e ci\u00f2 renderebbe inefficace la verifica DKIM. Inoltre, non dobbiamo dimenticare che queste tecnologie aiutano a gestire minacce su larga scala, ma per proteggere la vostra azienda da <strong>attacchi e-mail sofisticati<\/strong> dovreste avvalervi di <strong>soluzioni di protezione aggiuntive<\/strong> <a href=\"https:\/\/www.kaspersky.it\/small-to-medium-business-security?icid=it_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">da installare sia sulle workstation, sia sui server e-mail<\/a>.<\/p>\n<p>Ecco alcune raccomandazioni per la <strong>protezione della posta elettronica<\/strong>:<\/p>\n<ul>\n<li>Utilizzate l\u2019SPF e assicuratevi che sia configurato correttamente. Tenete anche presente che i cybercriminali pi\u00f9 ingegnosi possono bypassare il SPF (<a href=\"https:\/\/media.ccc.de\/v\/36c3-10730-email_authentication_for_penetration_testers\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">maggiori dettagli qui<\/a>);<\/li>\n<li>Implementate il DKIM per una migliore protezione. Potrebbe essere un po\u2019 pi\u00f9 difficile, ma vale la pena considerarlo. E ancora una volta, assicuratevi che sia configurato correttamente (<a href=\"https:\/\/noxxi.de\/research\/breaking-dkim-on-purpose-and-by-chance.html\" target=\"_blank\" rel=\"nofollow noopener noreferrer\">alcuni suggerimenti su cosa cercano i cybercriminali <\/a>);<\/li>\n<li>Adottare il <strong>DMARC<\/strong> sarebbe l\u2019ideale, perch\u00e9 corregge la maggior parte delle <strong>falle di SPF e DKIM<\/strong> che potrebbero essere sfruttate;<\/li>\n<li>Controllate la vostra configurazione anche per le e-mail in arrivo;<\/li>\n<li>Avvaletevi di <strong><a href=\"https:\/\/www.kaspersky.it\/blog\/kaspersky-2020-security-solutions\/17904\/\" target=\"_blank\" rel=\"noopener\">soluzioni di sicurezza<\/a><\/strong> che supportino i meccanismi moderni di autenticazione. Ad esempio, potete utilizzare Kaspersky Security for Mail Servers o Kaspersky Security for Microsoft Office 365.<\/li>\n<\/ul>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kesb-trial\">\n","protected":false},"excerpt":{"rendered":"<p>Gli attacchi di phishing e gli attacchi Business E-mail Compromise si servono di e-mail false. Ma perch\u00e9 \u00e8 cos\u00ec facile per i cybercriminali renderle cos\u00ec convincenti?<\/p>\n","protected":false},"author":421,"featured_media":19877,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2364,2956],"tags":[3244,3270,2695,2697,2207,116,1466],"class_list":{"0":"post-19876","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-36c3","10":"tag-bec-main-tag-36c3","11":"tag-ccc","12":"tag-chaos-communication-congress","13":"tag-e-mail","14":"tag-phishing","15":"tag-spear-phishing"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/36c3-fake-emails\/19876\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/36c3-fake-emails\/18466\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/36c3-fake-emails\/15342\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/36c3-fake-emails\/20227\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/36c3-fake-emails\/18555\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/36c3-fake-emails\/17055\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/36c3-fake-emails\/21035\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/36c3-fake-emails\/26277\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/36c3-fake-emails\/7644\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/36c3-fake-emails\/32362\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/36c3-fake-emails\/13700\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/36c3-fake-emails\/13910\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/36c3-fake-emails\/12746\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/36c3-fake-emails\/21957\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/36c3-fake-emails\/26726\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/36c3-fake-emails\/24957\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/36c3-fake-emails\/20916\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/36c3-fake-emails\/25747\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/36c3-fake-emails\/25579\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/36c3\/","name":"36c3"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/19876","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/421"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=19876"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/19876\/revisions"}],"predecessor-version":[{"id":23351,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/19876\/revisions\/23351"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/19877"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=19876"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=19876"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=19876"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}