Come funziona lo spoofing delle e-mail
Un'e-mail può essere suddivisa in due sezioni principali: le intestazioni e il corpo. Lo scopo delle intestazioni è quello di fornire i metadati e le informazioni necessarie per instradare l'e-mail alla sua destinazione. Il corpo dell'e-mail è il messaggio effettivo che viene trasmesso.
Il protocollo SMTP (Simple Mail Transfer Protocol) definisce la struttura delle e-mail e il modo in cui i computer comunicano tramite e-mail. Quando SMTP è stato sviluppato, la sicurezza non era una priorità e il protocollo è stato progettato senza alcun modo per verificare l'autenticità delle intestazioni delle e-mail.
Lo spoofing delle e-mail ne trae vantaggio modificando il valore dell'intestazione FROM, che deve contenere l'indirizzo e-mail del mittente. Questo valore viene utilizzato solo per informare il destinatario dell'identità del mittente, quindi la modifica non causerà l'esito negativo dell'e-mail.
Tuttavia, l'indirizzo FROM può essere utilizzato per indirizzare le risposte a un'e-mail, il che potrebbe rappresentare un problema per alcune campagne di phishing. Tuttavia, lo standard SMTP include anche un'intestazione REPLY-TO in cui il mittente può specificare che le risposte a un'e-mail devono essere inviate a un indirizzo diverso. Questo campo è comunemente utilizzato nelle e-mail di marketing, ma può anche essere utilizzato da un phisher per ricevere risposte a e-mail di phishing in cui hanno falsificato l'indirizzo.
Come identificare un'e-mail contraffatta
Le e-mail contraffatte fanno parte di phishing campagne, che sono progettate per indurre il destinatario a intraprendere un'azione che aiuta l'aggressore. Se un'e-mail ha un link incorporato su cui fare clic, un allegato o richiede qualche altra azione, è consigliabile verificarne lo spoofing.
In alcuni casi, l'utente malintenzionato può utilizzare un indirizzo simile reale, ad esempio sostituendo cornpany.com con company.com. In altri, il valore dell'intestazione FROM può essere sostituito con un indirizzo legittimo che non è sotto il controllo del mittente.
Mentre il primo caso di solito può essere rilevato dando un'occhiata attenta all'indirizzo e-mail del mittente, il secondo potrebbe richiedere ulteriori ricerche. Gli indirizzi FROM contraffatti possono essere identificati in base a:
- Contesto: Le e-mail di phishing sono progettate per sembrare legittime, ma potrebbero non avere sempre successo. Se un'e-mail non sembra provenire dal presunto mittente, potrebbe trattarsi di un'e-mail di phishing contraffatta.
- Rispondi a: Un indirizzo di risposta consente di indirizzare le risposte a un'e-mail da un indirizzo a un altro. Sebbene questo abbia usi legittimi (come le campagne e-mail di massa), è insolito e dovrebbe essere motivo di sospetto per le e-mail provenienti da un account personale.
Ricevuto: L'intestazione RECEIVED in un'e-mail indica gli indirizzi IP e i nomi di dominio dei computer e dei server di posta elettronica lungo il percorso percorso dell'e-mail. Un'e-mail da e verso indirizzi e-mail all'interno della stessa azienda deve passare solo attraverso il server di posta elettronica dell'azienda.
Come proteggersi dallo spoofing delle e-mail
L’aumento delle e-mail di spear phishing rende la prevenzione del phishing una componente fondamentale di un’azienda Email Security strategia. Alcune best practice chiave per protezione dagli attacchi di phishing includere:
- Etichetta e-mail esterne: Le e-mail contraffatte spesso fingono di provenire da indirizzi interni ma provengono dall'esterno dell'azienda. L'aggiunta di un banner di avviso a tutte le e-mail esterne aiuta i destinatari a identificare i tentativi di attacchi di spoofing delle e-mail.
- Abilita protezione e-mail: Le protezioni e-mail come DMARC e SPF aggiungono informazioni di autenticazione alle e-mail. Ciò rende più difficile per un utente malintenzionato inviare e-mail contraffatte dai domini di un'azienda.
- Controlla l'indirizzo e-mail: I phisher spesso utilizzano indirizzi simili per far sembrare le loro e-mail più legittime. Verificare che l'indirizzo del mittente di un'e-mail sia corretto prima di attendirlo.
- Controlla le intestazioni delle e-mail: Lo spoofing funziona modificando le intestazioni SMTP all'interno delle e-mail. Se un'e-mail sembra sospetta, controlla le intestazioni per verificare la presenza di incongruenze.
Protezione dallo spoofing delle e-mail con Check Point
Le e-mail contraffatte sono progettate per essere ingannevoli, il che significa che i dipendenti potrebbero avere difficoltà a identificare attacchi di phishing sofisticati. Un singolo clic su un collegamento dannoso o l'apertura di un allegato carico di malware può causare danni significativi all'azienda. Le e-mail di phishing sono una delle principali cause di violazione dei dati e uno dei principali meccanismi di distribuzione di ransomware e altri malware.
Per questo motivo, la formazione aziendale sulla sicurezza informatica per il rilevamento delle e-mail di phishing dovrebbe essere potenziata con una forte formazione Soluzione Anti-Phishing. Check Point, insieme ad Avanan, si è sviluppato Harmony email & collaboration , che fornisce una protezione completa contro le truffe di phishing. Per ulteriori informazioni su Harmony Email and Collaboration e su come può contribuire a mitigare la minaccia di e-mail di phishing contraffatte per la tua organizzazione, sei invitato a Si registri per una demo gratuita.
Feedback