L'email spoofing è una tecnica usata dagli hacker per falsificare l'indirizzo del mittente, in modo che un messaggio di posta elettronica sembri provenire da una persona o istituzione di fiducia. In passato, le email fraudolente si smascheravano spesso da sole, a causa di evidenti errori grammaticali o di formattazione. Oggi, invece, con l'AI generativa è cambiato tutto. Le email contraffatte possono apparire professionali, precise, personalizzate e convincenti, pertanto prive dei campanelli d'allarme che prima le persone erano in grado di riconoscere.
Contenuti:
Alla luce di tutto ciò, per riconoscere un tentativo di spoofing non basta più orientarsi sullo stile di scrittura o sull'ortografia. Comprendere come funziona l'email spoofing è quindi fondamentale per proteggere le informazioni sensibili e prevenire gli attacchi di phishing.
Cos'è l'email spoofing?
L'email spoofing consiste nel falsificare l'indirizzo del mittente nei messaggi di posta elettronica, così da farlo passare per un soggetto attendibile. Invece di hackerare un account per nascondere l'identità del mittente, i criminali informatici manipolano i campi tecnici all'interno dell'intestazione dell'email, concentrandosi nello specifico sulle informazioni utilizzate dal protocollo semplice per il trasferimento di posta (SMTP).
All'atto pratico, un'email spoofing può assumere diverse forme:
Un'email contraffatta che sembra provenire dalla tua banca, in cui ti viene chiesto di confermare le credenziali di accesso.
Un messaggio apparentemente inviato da uno dei tuoi dirigenti, che ti chiede con urgenza delle coordinate di pagamento: è un metodo molto diffuso nell'ambito delle violazioni delle email aziendali.
Una fattura di un fornitore inviata da un dominio leggermente diverso rispetto all'originale, il cui obiettivo è dirottare le transazioni sul conto di un hacker.
Email di phishing che si spacciano per comunicazioni interne, imitando la formattazione e i riquadri delle firme digitali usati dalla tua azienda.
L'email spoofing viene spesso utilizzato come trampolino per gli attacchi di phishing, con la finalità di carpire informazioni sensibili, come password, dati finanziari o credenziali di accesso.
Come funziona l'email spoofing
L’email spoofing sfrutta il funzionamento del protocollo semplice per il trasferimento di posta (SMTP), che gestisce le informazioni del mittente senza un meccanismo di verifica rigoroso. L'SMTP è stato progettato per instradare i messaggi tra server di posta, non per autenticare l'identità del mittente: di conseguenza, questo protocollo consente al server di invio di specificare l'indirizzo del mittente nelle intestazioni dell'email senza alcuna verifica integrata.
Quando viene trasmessa un'email, il server SMTP include diversi campi fondamentali nella sua intestazione, tra cui il campo "Da" (visibile all'utente) e il nome del mittente del messaggio, utilizzato durante la comunicazione tra diversi server. Questi campi possono essere manipolati. Se i server di posta elettronica riceventi non eseguono la procedura di convalida, confrontandoli con i registri di autenticazione, il messaggio può essere trasmesso e apparire legittimo.
Ecco cosa accade, dal punto di vista tecnico, durante un tentativo di spoofing:
Un hacker si connette a un server SMTP, che può essere sotto il suo controllo, compromesso o facente parte di una botnet.
Crea un messaggio email e imposta manualmente il campo dell'indirizzo del mittente.
Il messaggio viene inviato ai server di posta riceventi.
Se non vengono eseguiti controlli di autenticazione (come SPF, DKIM o DMARC), l'indirizzo del mittente contraffatto viene accettato.
Il destinatario finale del messaggio vedrà quello che sembra essere l'indirizzo di posta elettronica di un mittente legittimo, ma gli indirizzi IP e i dati di instradamento originari, contenuti nell'intestazione dell'email, potrebbero rivelare una diversa provenienza.
È proprio a causa di questa vulnerabilità strutturale che, successivamente, sono stati introdotti gli standard di autenticazione delle email, al fine di verificare che il server mittente sia autorizzato a inviare messaggi per conto di un dominio.
Phishing e spoofing: quali sono le differenze?
Nell'ambito della criminalità informatica, phishing e spoofing sono concetti che, pur essendo correlati, svolgono ruoli diversi nelle strategie usate dagli hacker per raggirare gli utenti. L'email spoofing, come abbiamo già avuto modo di vedere, si riferisce nello specifico alla falsificazione dell'indirizzo di posta elettronica del mittente, finalizzata a fare apparire legittimo un determinato messaggio. Il phishing, al contrario, è una tattica di ingegneria sociale di più ampio respiro, che utilizza messaggi ingannevoli (spesso email contraffatte) per indurre le vittime a rivelare informazioni sensibili o compiere azioni dannose per loro stesse.
In altre parole, lo spoofing consiste nella falsificazione dell'identità a livello di protocollo, mentre il phishing riguarda la manipolazione psicologica dell'utente. Molti attacchi di phishing utilizzano indirizzi contraffatti per sembrare attendibili, ma non tutte le email contraffatte vengono usate nelle campagne di phishing.
Ecco un confronto tra spoofing delle email e phishing:
| Spoofing delle e-mail | Phishing | |
|---|---|---|
| Obiettivo principale | Manipolare l'identità del mittente in un'e-mail | Indurre con l'inganno il destinatario a compiere un'azione |
| Tecnica principale | Indirizzo del mittente falsificato nell'intestazione dell'e-mail | Tattiche di ingegneria sociale e psicologiche |
| Aspetto tecnico | Sfrutta le ipotesi di fiducia nei protocolli di posta elettronica | Sfrutta la fiducia e il comportamento umani |
| Possono includere | Domini falsi, inganni relativi al nome visualizzato | Link dannosi, furto di credenziali |
| Esito tipico | Le informazioni sembrano provenire da una fonte attendibile | L'Utente fa clic su un link, condivide dati o installa malware |
| Dipendenza | Può verificarsi anche in assenza di phishing | Spesso usa e-mail contraffatte per aumentare la credibilità |
Se hai ancora dei dubbi sulle differenze tra phishing e spoofing, consulta la nostra guida Cos'è il phishing? per saperne di più su come funzionano questi attacchi.
Come prevenire gli attacchi di spoofing delle email
Sebbene, di per sé, l'email spoofing non sia sempre illegale, viene utilizzato molto spesso nelle truffe di phishing e negli attacchi finalizzati a compromettere le caselle di posta elettronica aziendali. Eradicare completamente l'email spoofing può essere difficile, poiché non si tratta di un crimine a tutti gli effetti.
Per fortuna molti provider di posta elettronica riescono a individuare le truffe in modo piuttosto efficiente, e quindi la maggior parte di esse finisce nella cartella dello spam; tuttavia, è inevitabile che alcune riescano a eludere i controlli e ad arrivare così alla tua casella di posta. Ecco alcune precauzioni che puoi adottare per evitare che lo spoofing causi danni reali:
Controlla sempre l'indirizzo del mittente. Non fidarti solo del nome visualizzato. I truffatori spesso usano indirizzi molto simili a quelli legittimi, con piccole variazioni ortografiche nel nome del dominio o caratteri sostituiti con altri simili (ad esempio, uno zero al posto della lettera "O").
Contatta il mittente tramite un canale diverso. Chiamalo, inviagli un messaggio o incontralo di persona prima di condividere qualsiasi informazione.
Non cliccare mai sui link contenuti nelle email. Se ti viene chiesto di accedere al tuo conto corrente, digita l'indirizzo del sito web della banca direttamente nel browser. Se, per qualche motivo, non puoi fare a meno di cliccare su un pulsante o un link, passaci sopra il puntatore del mouse per visualizzare l'anteprima dell'URL di destinazione. Se l'indirizzo non ti è familiare, contiene errori di battitura o non corrisponde al dominio ufficiale dell'azienda, non cliccare sul link.
Mantieni aggiornato il tuo software antivirus. Esegui spesso scansioni del dispositivo.
Se sembra troppo bello per essere vero, c'è qualcosa sotto. Se qualcuno ti offre uno stratagemma per fare soldi veloci, probabilmente è una truffa.
In che modo le imprese possono proteggersi dall'email spoofing?
Le aziende si proteggono dallo spoofing implementando rigorosi controlli di autenticazione delle email a livello di DNS e attuando verifiche su tutti i loro server di posta elettronica. In assenza di una configurazione adeguata, i criminali informatici possono inviare email contraffatte che sembrano provenire dal dominio della tua impresa, incrinando così il grado di affidabilità e favorendo le pratiche di violazione dei server di posta dell'azienda.
I pilastri su cui si basa la prevenzione dello spoofing dei domini sono tre standard di autenticazione: SPF, DKIM e DMARC.
Sender Policy Framework (SPF)
Il Sender Policy Framework è un record DNS che definisce quali indirizzi IP sono autorizzati a inviare email per conto del tuo dominio.
Quando un server di posta ricevente elabora i messaggi email in arrivo, confronta gli indirizzi IP del mittente con il record SPF del dominio: se il server mittente non risulta autorizzato, il controllo SPF ha esito negativo.
Questi controlli impediscono agli hacker di utilizzare server SMTP non autorizzati per inviare false email provenienti, in apparenza, dal tuo indirizzo. Tuttavia, l'SPF da solo non basta: verifica infatti la fonte da cui proviene il messaggio, ma non la sua integrità.
Misure essenziali per i proprietari di domini:
Pubblica un record SPF valido nel DNS.
Limita gli indirizzi IP autorizzati solo ai server di posta elettronica legittimi.
Evita configurazioni troppo ampie, del tipo "+all".
Monitora i limiti di ricerca SPF per evitare errori.
DomainKeys Identified Mail (DKIM)
Il metodo DomainKeys Identified Mail aggiunge una verifica crittografica ai messaggi in uscita.
Quando il tuo server SMTP invia un'email, vi allega una firma digitale generata utilizzando chiavi crittografiche private. La chiave pubblica corrispondente è invece pubblicata nel DNS e i server di posta in arrivo la utilizzano per verificare che il messaggio non sia stato alterato durante la trasmissione.
Se un criminale informatico modifica il contenuto o i campi dell'intestazione, la firma DKIM non viene convalidata.
Per un'implementazione efficace:
Genera chiavi crittografiche complesse.
Esegui la rotazione periodica delle chiavi.
Fai in modo che tutti i messaggi legittimi in uscita siano firmati.
Domain-Based Message Authentication, Reporting and Conformance (DMARC)
L'autenticazione dei messaggi basata sul dominio si serve dei metodi SPF e DKIM; il protocollo DMARC consente invece ai proprietari dei domini di specificare in che modo i provider di posta elettronica destinatari debbano gestire i messaggi che non superano i controlli di autenticazione.
Il sistema di validazione DMARC ti consente di:
Dare istruzioni ai provider affinché monitorino, mettano in quarantena o rifiutino i messaggi non convalidati.
Ricevere rapporti dettagliati sui tentativi di spoofing.
Scoprire gli utilizzi non autorizzati del tuo dominio.
In assenza del protocollo DMARC, i messaggi contraffatti che non superano i controlli SPF o DKIM potrebbero comunque essere recapitati nelle caselle email.
Considerazioni finali
L'email spoofing sfrutta una vulnerabilità strutturale intrinseca dell'architettura su cui si basa la posta elettronica. I protocolli di autenticazione possono arginare questo rischio e i processi di verifica interni lo riducono ulteriormente. Non esiste però alcun sistema in grado di azzerare del tutto il rischio di errore umano.
L'obiettivo principale non è solo quello di bloccare i messaggi contraffatti, ma anche limitare le conseguenze legate all'interazione con essi.
Se un hacker riesce a estorcere a una vittima delle credenziali di accesso e una stessa password è stata riutilizzata per diversi account, un singolo errore può trasformarsi in una violazione su larga scala: è proprio qui che la gestione delle password assume una portata fondamentale nella tua strategia di protezione della posta elettronica.
NordPass Premium ti aiuta a generare password complesse e univoche e a conservarle in modo sicuro su tutti i dispositivi. Se un tentativo di spoofing dovesse indirizzarti verso una pagina di phishing, le credenziali univoche impediranno ai criminali di accedere ad altri account, oltre a quello coinvolto.
La protezione della posta elettronica inizia con le procedure di autenticazione e si estende alla gestione ottimale degli account.