Cos'è lo spoofing della posta elettronica?

Nello spoofing della posta elettronica, gli autori di attacchi manomettono le intestazioni delle e-mail per mascherarsi da mittenti legittimi. Questa tattica è comune negli attacchi di phishing.

Obiettivi di apprendimento

Dopo aver letto questo articolo sarai in grado di:

  • Scopri cos'è lo spoofing della posta elettronica
  • Scopri come funziona lo spoofing della posta elettronica
  • Ottieni suggerimenti per la protezione contro lo spoofing della posta elettronica

Argomenti correlati


Vuoi saperne di più?

Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.

Fai riferimento all'Informativa sulla privacy di Cloudflare per scoprire come raccogliamo ed elaboriamo i tuoi dati personali.

Copia link dell'articolo

Cos'è lo spoofing della posta elettronica?

Nello spoofing della posta elettronica, un utente malintenzionato utilizza una intestazione e-mail per mascherare la sua identità e impersonare un mittente legittimo. (Una intestazione e-mail è un frammento di codice che contiene dettagli importanti sul messaggio come mittente, destinatario e dati di tracciamento.)

While email spoofing is a specific tactic involving the forging of email header information, attackers can use other tactics to achieve similar results. For example, attackers may create an email domain that looks very similar to the legitimate sender's domain, in hope that recipients will not notice the error. An example would be using the domain '@1egitimatecompany.com' rather than '@legitimatecompany.com.' Attackers may also change the display name to impersonate a sender: for example, sending malicious emails from 'LegitimateCEOName@gmail.com' rather than 'LegitimateCEOName@legitimatecompany.com.'

La differenza fondamentale tra queste tecniche è che i tentativi di spoofing della posta elettronica riusciti si presenteranno come domini legittimi, come cloudflare.com, in contrapposizione a un dominio con errori di ortografia (janeexecutive@jan3scompany.com) o un indirizzo non associato al dominio (janetherealceo@ gmail.com). Questo articolo si concentrerà specificamente sulle e-mail con intestazioni contraffatte.

Lo spoofing della posta elettronica rientra nel più ampio spoofing del dominio. Nello spoofing del dominio, gli autori di attacchi proveranno a falsificare il nome di un sito Web (o un indirizzo e-mail), generalmente come parte di attacchi di phishing. Lo spoofing del dominio va oltre la posta elettronica e può essere utilizzato per creare siti Web falsi o annunci pubblicitari fraudolenti.

Come funziona lo spoofing della posta elettronica?

Gli autori di attacchi usano gli script per falsificare i campi che un destinatario di posta elettronica può vedere. Questi campi si trovano all'interno dell'intestazione dell'e-mail e includono l'indirizzo "da" e l'indirizzo "rispondi a". Ecco un esempio di come potrebbero apparire questi campi in un'e-mail contraffatta:

  • Da: “Mittente legittimo” email@legitimatecompany.com
  • Rispondi a: email@legitimatecompany.com

La falsificazione di questi campi è possibile in quanto il protocollo di trasmissione della posta elettronica Simple Mail Transfer Protocol (SMTP) non dispone di un metodo integrato per l'autenticazione degli indirizzi e-mail. In effetti, gli indirizzi e-mail del mittente e del destinatario si trovano in due punti all'interno di un'e-mail: l'intestazione e l'envelope SMTP. L'intestazione e-mail include i campi visualizzati dal destinatario. L'envelope SMTP, tuttavia, contiene le informazioni utilizzate dai server per recapitare un'e-mail all'indirizzo corretto. Ma affinché un'e-mail venga inviata correttamente non è necessario che questi campi corrispondano. Poiché l'envelope SMTP non controlla mai l'intestazione e il destinatario non può vedere le informazioni nell'envelope, lo spoofing della posta elettronica è relativamente semplice.

Poiché un'e-mail contraffatta sembra provenire da un mittente legittimo, i destinatari potrebbero essere indotti con l'inganno a divulgare informazioni riservate, fare clic su collegamenti dannosi o intraprendere altre azioni che altrimenti non farebbero. Per questo motivo, lo spoofing della posta elettronica è comunemente usato negli attacchi di phishing.

In alcuni casi, gli autori di attacchi utilizzeranno altre tattiche per rafforzare la credibilità di un dominio di posta elettronica contraffatto. Ciò può includere la copia del logo di un'azienda, la grafica del marchio e altri elementi di design o l'utilizzo di messaggi e linguaggio che sono rilevanti per l'azienda imitata.

Come proteggersi dallo spoofing di posta elettronica

I destinatari delle e-mail possono completare questi passaggi per assicurarsi di non cadere nello spoofing della posta elettronica:

  • Diffidare dei messaggi che incoraggiano un'azione rapida o urgente: i destinatari dovrebbero essere sospettosi di eventuali e-mail impreviste o non richieste che richiedono informazioni personali, pagamenti o altre azioni immediate. Ad esempio, una richiesta improvvisa di modificare le informazioni di accesso per un'applicazione dovrebbe essere considerata sospetta.
  • Ispezionare le intestazioni delle email: numerosi client di posta elettronica offrono un modo per visualizzare l'intestazione di un'e-mail. Ad esempio, <a href='https://it.umn.edu/services-technologies/how-tos/gmail-view-email-headers' 'target=_blank'>in Gmail, facendo clic su “Mostra originale” su una singola e-mail verrà riveleta l'intestazione dell'e-mail. Una volta visualizzata l'intestazione, cerca la sezione "Ricevuti". Se viene visualizzato un dominio diverso da quello nell'indirizzo "Da", è probabile che l'e-mail sia contraffatta.
  • Utilizzare un software che filtri i messaggi contraffatti: Il software anti-spam può richiedere l'autenticazione per le e-mail in arrivo, bloccando così i tentativi di spoofing.

I proprietari di domini possono anche intervenire per impedire agli autori di attacchi di inviare messaggi dal loro dominio. Per far ciò, le organizzazioni possono creare record Domain Name System (DNS) specifici per l'autenticazione. Tra questi vi sono:

  • Record SPF: un record Sender Policy Framework (SPF) riporta i server che sono autorizzati a inviare le e-mail da un determinato dominio. In questo modo, se qualcuno ha creato un indirizzo e-mail associato al dominio, questo non sarebbe elencato nel record SPF e non supererebbe l'autenticazione.
  • Record DKIM: i record DomainKeys Identified Mail (DKIM) utilizzano una coppia di chiavi di crittografia per l'autenticazione: una chiave pubblica e una chiave privata. La chiave pubblica viene archiviata nel record DKIM mentre la chiave privata firma digitalmente l'intestazione DKIM. Le e-mail contraffatte da un dominio con un record DKIM non verranno firmate con le chiavi di crittografia corrette e pertanto non supereranno l'autenticazione.
  • Record DMARC: i record Domain-based Message Authentication Reporting and Conformance (DMARC) contengono le politiche DMARC, che indicano ai server di posta elettronica cosa fare dopo aver controllato i record SPF e DKIM. I proprietari di dominio possono impostare regole per bloccare, consentire o consegnare messaggi in base a questi controlli. Poiché le politiche DMARC vengono esaminate rispetto ad altre politiche di autenticazione e consentono ai proprietari di dominio di impostare regole più specifiche, questi record aggiungono un altro livello di protezione contro lo spoofing della posta elettronica.

A livello organizzativo, i responsabili della sicurezza possono anche adottare misure per proteggere i dipendenti dallo spoofing della posta elettronica implementando la protezione da phishing e malware.

In che modo l'autenticazione della posta elettronica rientra nella sicurezza della posta elettronica?

Sebbene l'autenticazione della posta elettronica possa aiutare a proteggere dallo spoofing della posta elettronica, non è una soluzione di sicurezza completa. Ad esempio, l'autenticazione della posta elettronica non tiene conto di altre tecniche di phishing comuni come domini simili o e-mail inviate da domini legittimi che sono stati compromessi.

La sicurezza della posta elettronica di Cloudflare Area 1 offre un approccio più olistico. Esegue la scansione preventiva di Internet per identificare l'infrastruttura dell'autore dell'attacco, prevenendo così gli attacchi di phishing e proteggendo le caselle di posta.