Al phishing abbiamo già fatto riferimento in più occasioni (Phishing: cos'è e come difendersi, Spear phishing: una sottocategoria insidiosa).

Si tratta, infatti, di una delle minacce informatiche ad oggi più diffuse.

Sono classificati come phishing quei cyberattacchi che cercano di ingannare le vittime tramite messaggi (mail o SMS) fittizi per rubare dati sensibili, credenziali o denaro.

Ma oggi andiamo a vedere più nel dettaglio una tecnica su cui spesso si basano questi attacchi.

Definizione di spoofing

Parlando di spoofing ci riferiamo a una tecnica utilizzata negli attacchi di spam e phishing con l’obiettivo di raggirare gli utenti facendogli credere che l'email malevola provenga da una persona o un’entità che conoscono o di cui comunque possono fidarsi.

In generale, parliamo di spoofing tutte le volte in cui un truffatore nasconde la propria identità. La parola spoof in inglese significa infatti inganno o parodia, ma è oggi utilizzata quasi esclusivamente in ambito informatico con questa accezione.

Con questa tecnica i cyber criminali falsificano l’intestazione delle email in modo che per il destinatario possa apparire una fonte affidabile, per esempio un amico, un parente o il suo istituto bancario.

L’utente vede quindi solo il mittente contraffatto. E se è un nome che riconosce, è molto probabile che si fidi e finisca per cliccare su link dannosi, o aprire allegati malevoli, che invii dati sensibili o che arrivi persino ad effettuare bonifici.

Se tu vedessi arrivare una mail di un tuo collega con un link su cui cliccare, saresti molto propenso a cliccarci senza esitare, giusto?

Ma come fanno i cybercriminali a falsificare il mittente?

Modificano il campo “Da” dell’email in modo da farlo coincidere con il nome esatto di un contatto o un’entità conosciuta.

Molto spesso è solo l’intestazione a risultare autentica, mentre dell’indirizzo mail viene cambiata una lettera o un numero rispetto a quello autentico, in modo che la differenza sia minima e difficile da notare.

Ma vi dirò di più, in certi casi perfino l’indirizzo mail coincide con quello originale.

E questo è possibile perché esistono dei servizi che consentono di modificare il campo “Da” interamente, senza che debba corrispondere con l’indirizzo con cui uno effettua il login o un indirizzo esistente.

I server di posta in uscita non riescono a determinare se l'indirizzo del mittente sia legittimo.

Per fortuna, a partire dal 2014 sono stati introdotti protocolli di sicurezza per aiutare a combattere l’email spoofing e il phishing.

Grazie a questi protocolli, molti messaggi di posta elettronica falsificati finiscono ora nella casella di posta indesiderata dell'utente oppure vengono direttamente respinti senza nemmeno riuscire a raggiungere la casella di posta del destinatario.

Ma purtroppo sono ancora molti quelli che riescono a trapelare.

Esempi reali

Andiamo a vedere alcuni esempi per capire ancora meglio di cosa si tratta.

Qualche tempo fa erano molto diffuse le email di phishing che sembravano provenire da un corriere e chiedevano di pagare una piccola somma o cliccare su un link per sbloccare una spedizione.

In questi ultimi anni gli ordini online sono aumentati molto (soprattutto nel periodo della pandemia) ed è piuttosto probabile che chiunque stia effettivamente aspettando di ricevere un pacco.

Perciò facendo leva su questo e sulla disattenzione degli utenti aumentano di gran lunga anche le probabilità che il cyber criminale di turno riesca nel suo intento.

Come si può notare dall’immagine di esempio, ad una prima occhiata la mail sembra essere ufficiale, con il logo del corriere Bartolini e soprattutto con l’intestazione del mittente BRT SpA.

Osservando con più attenzione possiamo vedere però che l’indirizzo email non riporta il dominio originale e non è autentico.

Adesso questo tipo di mail circola molto meno, perché ormai la voce si è sparsa ed è più difficile che le persone caschino nel tranello.

Ma vi racconto di un caso ancor più insidioso.

Ad un mio cliente è capitato di ricevere una mail proveniente da se stesso, con il suo indirizzo mail esatto nel campo “Da”!

Il messaggio lo invitava a rispettare una presunta scadenza di tasse effettuando un bonifico entro 2 giorni.

A dire il vero la mail era stata messa in quarantena dalla nostra soluzione antispam come sospetta e così non ci sono stati rischi.

Anche se in questo caso, al ricevere una mail proveniente dal proprio indirizzo email, la soglia di attenzione di chiunque credo che si alzerebbe. Non si è trattato di una grande strategia.

Ma già se la mail fosse arrivata da un collega dell'amministrazione, le cose sarebbero state diverse, no?

Vediamo quindi cosa è sempre bene fare per proteggersi.

Come difendersi

Suggerisco sicuramente di avere un buon sistema di antispam, che riesca a riconoscere, bloccare o segnalare le email sospette.

Le migliori soluzioni sono quelle che si servono dell’intelligenza artificiale per aggiornarsi continuamente sulle possibili minacce, analizzando tutti gli elementi delle mail per poter riconoscere eventuali anomalie. Sono servizi all’avanguardia che riescono così a bloccare anche attacchi sconosciuti o mai rilevati prima.

Inoltre consiglio sempre di appoggiarsi alle piattaforme di posta elettronica Microsoft 365 o Google, perché in quanto maggiori player in questo campo attuano sempre nuovi protocolli di sicurezza per contrastare i rischi di cyber sicurezza.

Il provider della posta può fare molta differenza sulla quantità di spam, phishing e malware che riescono a trapelare.

Ma in alcuni casi gli attacchi sono in grado di bypassare anche tutti i sistemi di sicurezza.

Quindi raccomando la massima attenzione, in particolare nel caso di messaggi che comunicano una certa urgenza e richiedono l’invio di denaro, l’inserimento di credenziali o dati rilevanti.

In questi casi è molto importante verificare sempre la legittimità dei mittenti e dei link su cui viene richiesto di cliccare.

Come recita il detto, quando si parla di phishing o di spoofing, “Fidarsi è bene, non fidarsi è meglio”!