Cosa si intende per sicurezza della posta elettronica?

La sicurezza della posta elettronica è la pratica di prevenire attacchi informatici basati su e-mail, proteggere gli account e-mail dall'acquisizione e proteggere il contenuto delle e-mail. La sicurezza della posta elettronica è multiforme e può richiedere diversi livelli di protezione.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Definisci la sicurezza della posta elettronica
  • Descrivi alcuni degli attacchi basati su e-mail più comuni

Copia link dell'articolo

Cosa si intende per sicurezza della posta elettronica?

La sicurezza La sicurezza della posta elettronica è la pratica di prevenire attacchi informatici basati su email e comunicazioni non desiderate. Va dalla protezione delle caselle di posta dal controllo non autorizzato dell'account, alla protezione dei domini da spoofing, l'arresto di attacchi di phishing, la prevenzione di frodi, il blocco dei malware, il filtro dello spam e l'uso della crittografia per proteggere il contenuto delle e-mail da persone non autorizzate.

La sicurezza e la privacy non sono state integrate originariamente nella posta elettronica e nonostante l'importanza delle e-mail come metodo di comunicazione, oggi ancora non lo sono. Di conseguenza, la posta elettronica è il principale vettore di attacco per organizzazioni grandi e piccole e anche per singole persone.

Che tipi di attacchi si verificano via e-mail?

Alcuni dei tipi comuni di attacchi e-mail includono:

  • Fraud: Email-based fraud attacks can take a variety of forms, from the classic advance-fee scams directed at everyday people to business email compromise (BEC) messages that aim to trick large enterprise accounting departments into transferring money to illegitimate accounts. Often the attacker will use domain spoofing to make the request for funds look like it comes from a legitimate source.
  • Phishing: un attacco di phishing prova a convincere la vittima a fornire informazioni riservate all'autore dell'attacco. Gli attacchi di phishing via e-mail possono indirizzare gli utenti a una pagina Web falsa che raccoglie le credenziali o semplicemente fare pressione sull'utente affinché invii le informazioni a un indirizzo e-mail segretamente controllato dall'autore dell'attacco. In attacchi come questi è molto comune anche lo spoofing del dominio.
  • Malware: I tipi di malware inviati tramite e-mail includono spyware, scareware, adware e ransomware, tra gli altri. Gli autori di attacchi possono inviare malware tramite e-mail in diversi modi. Uno dei più comuni è includere un allegato e-mail che contiene codice dannoso.
  • Controllo non autorizzato dell'account: gli autori di attacchi prendono il controllo delle caselle di posta di utenti legittimi per una varietà di scopi, come monitorare i loro messaggi, rubare informazioni o utilizzare indirizzi e-mail legittimi per inoltrare attacchi di malware e spam ai loro contatti.
  • Intercettazione e-mail: gli autori di attacchi possono intercettare le e-mail per rubare le informazioni in esse contenute o per effettuare attacchi sul percorso in cui impersonano entrambi i lati di una conversazione. Il metodo più comune per farlo è il monitoraggio dei pacchetti di dati di rete su local area network (LAN) wireless poiché intercettare un'e-mail mentre transita in Internet è estremamente difficile.

Spoofing del dominio di posta elettronica

Lo spoofing del dominio di posta elettronica è importante in diversi tipi di attacchi basati su e-mail, poiché consente agli autori di attacchi di inviare messaggi da indirizzi apparentemente legittimi. Questa tecnica consente ai malintenzionati di inviare un'e-mail con un indirizzo "da" contraffatto. Ad esempio, se Chuck vuole ingannare Bob con un'e-mail, Chuck potrebbe inviare a Bob un'e-mail dal dominio "@trustworthy-bank.com", anche se Chuck non possiede realmente il dominio "trustworthy-bank.com" o rappresenta quell'organizzazione.

Cos'è un attacco di phishing?

Il phishing è un tentativo di rubare dati sensibili, in genere sotto forma di nomi utente, password o altre informazioni importanti sull'account. Il phisher utilizza personalmente le informazioni rubate, ad esempio per impossessarsi degli account dell'utente con la sua password, oppure vende le informazioni rubate.

Gli autori di attacchi di phishing si travestono da fonte attendibile. Con una richiesta allettante o apparentemente urgente, un malintenzionato induce la vittima a fornire informazioni, proprio come una persona usa l'esca durante la pesca.

Il phishing avviene spesso tramite e-mail. I phisher cercano di indurre le persone a inviare direttamente informazioni via e-mail o si collegano a una pagina Web che controllano progettata per sembrare legittima (ad esempio, una pagina di accesso falsa in cui l'utente inserisce la propria password).

Esistono diversi tipi di phishing:

  • Lo spear-phishing è altamente mirato e spesso personalizzato per essere più convincente.
  • Il whaling prende di mira persone importanti o influenti all'interno di un'organizzazione, come ad esempio i dirigenti. Questo è un vettore di minaccia importante nella sicurezza della posta elettronica aziendale.
  • Gli attacchi di phishing non e-mail includono il vishing (phishing via telefono), lo smishing (phishing tramite SMS) e il phishing da social media.

Una strategia di sicurezza della posta elettronica può includere diversi approcci per bloccare gli attacchi di phishing. Le soluzioni di sicurezza delle e-mail possono filtrare le e-mail provenienti da indirizzi IP errati noti. Possono bloccare o rimuovere i collegamenti incorporati nelle e-mail per impedire agli utenti di navigare verso pagine Web di phishing oppure possono usare il filtro DNS per bloccare queste pagine Web. Le soluzioni di prevenzione della perdita di dati (DLP) le soluzioni possono anche bloccare o oscurare i messaggi in uscita contenenti informazioni sensibili.

Infine, i dipendenti di un'organizzazione dovrebbero ricevere una formazione su come riconoscere un messaggio di phishing.

Come vengono utilizzati gli allegati e-mail negli attacchi?

Gli allegati e-mail sono una funzionalità preziosa, ma gli autori di attacchi li utilizzano per inviare contenuti dannosi ai loro obiettivi, incluso il malware.

Un modo per farlo è semplicemente allegare un software dannoso come file .exe e indurre quindi il destinatario ad aprire l'allegato. Un approccio molto più comune consiste nel nascondere codice dannoso all'interno di un documento apparentemente innocente, come un PDF o un file Word. Entrambi questi tipi di file supportano l'inclusione di codice, come le macro, che gli autori di attacchi possono utilizzare per eseguire azioni dannose sul computer del destinatario, come il download e l'apertura di malware.

Molte infezioni da ransomware negli ultimi anni sono iniziate con un allegato di posta elettronica. Ad esempio,

  • il ransomware Ryuk spesso entra in una rete attraverso un'infezione TrickBot o Emotet, entrambe che si diffondono tramite allegati e-mail
  • Il ransomware Maze utilizza allegati di posta elettronica per riuscire a inserirsi all'interno della rete della vittima
  • Anche gli attacchi di ransomware Petya di solito iniziavano con un allegato di posta elettronica

Parte della sicurezza della posta elettronica implica il blocco o la neutralizzazione di questi allegati e-mail dannosi; ciò può comportare la scansione di tutte le e-mail con un programma anti-malware in modo da identificare il codice dannoso. Inoltre, gli utenti dovrebbero essere abituati a ignorare gli allegati di posta elettronica non previsti o inspiegabili. Per i client e-mail basati su Web, il browser isolation può aiutare a vanificare questi attacchi, poiché l'allegato dannoso viene scaricato in una sandbox separata dal dispositivo dell'utente.

Cos'è lo spam?

Spam è un termine per messaggi di posta elettronica indesiderati o inappropriati, inviati senza il permesso del destinatario. Quasi tutti i provider di posta elettronica offrono un certo grado di filtraggio dello spam ma inevitabilmente, alcuni messaggi di spam raggiungono ancora le caselle di posta degli utenti.

Gli spammer ottengono una cattiva "reputazione del mittente di posta elettronica"* nel tempo, portando sempre più messaggi a essere contrassegnati come spam. Per questo motivo sono spesso motivati a prendere il controllo delle caselle di posta degli utenti, a rubare lo spazio degli indirizzi IP o a falsificare i domini per inviare spam che non viene rilevato come spam.

Gli individui e le organizzazioni possono adottare diversi approcci per ridurre lo spam che ricevono. Per prima cosa, possono ridurre o eliminare gli elenchi pubblici dei loro indirizzi e-mail. Possono implementare un filtro antispam di terze parti in aggiunta al filtro fornito dal loro servizio di posta elettronica. E possono essere coerenti nel contrassegnare le e-mail di spam come spam, al fine di addestrare meglio il filtro di cui dispongono.

*Se una grande percentuale delle e-mail di un mittente non viene aperta o contrassegnata come spam dai destinatari o se i messaggi di un mittente rimbalzano troppo, gli ISP e i servizi di posta elettronica riducono la reputazione del mittente della posta elettronica.

In che modo gli autori di attacchi si impossessano degli account di posta elettronica?

Gli autori di attacchi possono utilizzare una casella di posta rubata per un'ampia gamma di scopi, tra cui l'invio di spam, l'avvio di attacchi di phishing, la distribuzione di malware, la raccolta di elenchi di contatti o l'utilizzo dell'indirizzo e-mail per rubare di più dall'account dell'utente.

Possono utilizzare diversi metodi per entrare in un account di posta elettronica:

  • Acquisto di elenchi di credenziali precedentemente rubate: ci sono state molte violazioni dei dati personali nel corso degli anni e gli elenchi di credenziali di nome utente/password rubate circolano ampiamente nel dark Web. Un utente malintenzionato può acquistare tale elenco e utilizzare le credenziali per entrare negli account degli utenti, spesso tramite la sottrazione e l'uso illecito delle credenziali.
  • Attacchi di forza bruta: in un attacco di forza bruta, un utente malintenzionato carica una pagina di accesso e utilizza un bot per indovinare rapidamente le credenziali di un utente. La limitazione della frequenza e i limiti all'immissione della password interrompono di fatto questo metodo.
  • Attacchi di phishing: l'autore dell'attacco potrebbe aver condotto un precedente attacco di phishing per ottenere le credenziali di accesso all'account di posta elettronica dell'utente.
  • Infezioni del browser Web: simile a un attacco sul percorso, una parte malintenzionata può infettare il browser Web di un utente per vedere tutte le informazioni che inseriscono nelle pagine Web, inclusi nome utente e password e-mail.
  • Spyware: l'autore dell'attacco potrebbe aver già infettato il dispositivo dell'utente e installato spyware per tenere traccia di tutto ciò che digita, inclusi nome utente e password e-mail.

L'uso di una autenticazione a più fattori (MFA) invece di una autenticazione con password è un modo per proteggere le caselle di posta dalla compromissione. Le aziende potrebbero anche voler richiedere ai propri utenti di utilizzare un servizio single sign-on (SSO) invece di accedere direttamente alla posta elettronica.

In che modo la crittografia protegge la posta elettronica?

La crittografia è il processo di codifica dei dati in modo che solo le parti autorizzate possano decodificarli e leggerli. La crittografia è come mettere una busta sigillata attorno a una lettera in modo che solo il destinatario possa leggerne il contenuto, anche se un numero qualsiasi di parti gestirà la lettera mentre va da mittente a destinatario.

La crittografia non è integrata automaticamente nella posta elettronica; questo significa che inviare un'e-mail è come inviare una lettera senza busta che ne protegga il contenuto. Poiché le e-mail contengono spesso dati personali e riservati, questo può essere un grosso problema.

Proprio come una lettera non passa istantaneamente da una persona all'altra, le e-mail non vanno direttamente dal mittente al destinatario. Attraversano infatti più reti connesse e vengono instradate da un server di posta a un altro server di posta finché non raggiungono finalmente il destinatario. Chiunque si trovi nel mezzo di questo processo potrebbe intercettare e leggere l'e-mail se non è crittografata, incluso il provider del servizio di posta elettronica. Tuttavia, il luogo più probabile per l'intercettazione di un'e-mail è vicino all'origine, tramite una tecnica chiamata packet sniffing (monitoraggio dei pacchetti di dati su una rete).

La crittografia è come mettere una busta sigillata attorno a un'e-mail. La maggior parte della crittografia delle e-mail funziona utilizzando la crittografia a chiave pubblica (ulteriori informazioni). A volte la crittografia della posta elettronica è end-to-end: ciò protegge il contenuto della posta elettronica dal provider del servizio di posta elettronica, oltre che da eventuali parti esterne.

In che modo i record DNS aiutano a prevenire gli attacchi via e-mail?

Il Domain Name System (DNS) memorizza record pubblici su un dominio, incluso l'indirizzo IP di quel dominio. Il DNS è essenziale per consentire agli utenti di connettersi a siti Web e inviare e-mail senza memorizzare lunghi indirizzi IP alfanumerici.

Esistono tipi specializzati di record DNS che aiutano a garantire che le e-mail provengano da una fonte legittima e non da un imitatore: record SPF, record DKIM e record DMARC. I provider di servizi di posta elettronica controllano le e-mail su tutti e tre questi record per vedere se provengono dal luogo in cui affermano di provenire e non sono state modificate durante il transito.

La procedura guidata per la sicurezza DNS della posta elettronica di Cloudflare aiuta i proprietari di domini a configurare in modo rapido e corretto questi record DNS così cruciali. Per maggiori informazioni, consulta il nostro post del blog.

Come si possono fermare gli attacchi di phishing?

Molti provider di posta elettronica dispongono di una protezione antiphishing integrata (e i record DNS sopra elencati sono in genere uno dei segnali che esaminano per bloccare i tentativi di phishing). Nonostante questo, le e-mail di phishing continuano a raggiungere regolarmente le caselle di posta degli utenti. Numerose organizzazioni utilizzano una protezione aggiuntiva contro il phishing per difendere meglio i propri utenti e le proprie reti.

La sicurezza della posta elettronica di Cloudflare Area 1 offre protezione dal phishing basata su cloud. Cloudflare Area 1 scopre in anticipo l'infrastruttura di phishing e analizza i modelli di traffico per correlare gli attacchi e identificare le campagne di phishing. Leggi nel dettaglio come funziona questo servizio anti-phishing.