Spiegati i misteriosi protocolli SPF, DKIM e DMARC

Tratto da: Security Blog Libraesva
Autore: Rodolfo Saccani – 2 novembre 2020
 
 

 

La posta elettronica è una cosa antica, è nata molto più tempo prima di Internet.

Il primo sistema di posta elettronica è nato nel 1965 al MIT. A quel tempo la comunicazione e-mail era limitata entro i confini di un unico mainframe, quei computer multiutente enormi, molto costosi e delicati che occupavano intere stanze climatizzate e richiedevano una supervisione continua.

Nel 1971 avvenne la prima trasmissione di un’e-mail tra computer collegati. È stato un piccolo passo per una singola email, ma un primo enorme passo per l’umanità.

Nel 1982 nacque il protocollo SMTP, questo è il protocollo che utilizziamo ancora oggi per lo scambio di email su Internet.

Il problema principale dell’email (e dell’SMTP) è che, essendo nato in un ambiente collaborativo in cui la sicurezza non era affatto un problema, essendo progettato in un momento in cui l’abuso non era nemmeno un’opzione teorica, il protocollo non aveva alcuna sicurezza a tutto tra i suoi requisiti di design.
Nessuna autenticazione del mittente: chiunque potrebbe fingere di essere chiunque.
Nessuna riservatezza : i messaggi sono stati scambiati e archiviati in chiaro.
Nessun controllo di integrità : non è stato possibile impedire o addirittura rilevare la manipolazione del contenuto dell’email lungo il percorso.
Nessuna protezione sui messaggi non richiesti : chiunque può inviare qualsiasi quantità di e-mail a qualsiasi destinatario.

Poi la posta elettronica è diventata popolare e questi problemi hanno iniziato a comparire rapidamente.

È diventato chiaro che dovevamo fare qualcosa per affrontare questa mancanza di sicurezza nel protocollo. Nessuno ci aveva pensato prima perché nessuno immaginava che l’e-mail sarebbe diventata ciò che è oggi: la principale forma di comunicazione elettronica su cui si basano le nostre società , qualcosa su cui tutte le organizzazioni, le imprese e gli individui fanno affidamento ogni giorno per gestire la propria vita .

Come tutti abbiamo imparato a nostre spese negli anni seguenti, aggiungere la sicurezza in seguito è molto più difficile che inserirla in fase di progettazione. Questo è uno dei principi più importanti del GDPR: se vuoi una sicurezza reale, ne hai bisogno fin dalla progettazione.

Aggiungere la sicurezza come ripensamento è difficile. È ancora più difficile se devi garantire la compatibilità con le versioni precedenti. La posta elettronica è l’esempio più chiaro di quanto sia difficile aggiungere sicurezza a qualcosa che è già distribuito in tutto il mondo, dove è necessario garantire che la posta elettronica possa ancora essere scambiata con server che non sono stati aggiornati ai nuovi standard.

È qui che entrano in gioco gli acronimi che si trovano nel titolo di questo articolo: SPF , DKIM e DMARC sono tre standard che sono stati aggiunti all’email nel tentativo di renderla più sicura.

SPF ha un compito molto semplice: prevenire lo spoofing del dominio. La tua organizzazione può dichiarare al mondo un sottoinsieme di indirizzi IP autorizzati a inviare email per conto del dominio della tua organizzazione. Definendo questo criterio, è possibile impedire ad attori malintenzionati di inviare e-mail fingendo di essere la tua organizzazione.
La configurazione di una policy SPF è molto semplice e relativamente priva di rischi: è sufficiente mappare tutti gli indirizzi IP che la tua organizzazione utilizza per inviare email. Un piccolo sforzo per ciò che ricevi in ​​cambio e se hai enumerato correttamente tutti i tuoi indirizzi IP legittimi da cui invii email, nessuna email andrà persa.
SPF non è perfetto, però, e non è sufficiente per prevenire tutti i tipi di spoofing, ma è comunque molto meglio di niente.

DKIM ha uno scopo principale: garantire l’integrità del contenuto dell’email. Integrità significa che il destinatario può rilevare se l’email è stata modificata o manomessa lungo il percorso. Questo avviene tramite una firma elettronica: se la firma è valida, sai che puoi fare affidamento sul contenuto dell’email. Se la firma non è valida, è probabile che il messaggio sia stato manomesso. Questa firma viene aggiunta e controllata automaticamente dai server di posta e l’utente non deve fare nulla.
L’impostazione di DKIM richiede un po ‘più di sforzo rispetto a SPF ma è sicuro: se lo si configura male, l’email non andrà persa.

SPF e DKIM non risolvono ancora completamente il problema del phishing. L’e-mail è un po ‘come una semplice lettera di carta: il mittente e il destinatario scritti sulla busta vengono utilizzati per la consegna, ma il destinatario non vede la busta. Il destinatario vede semplicemente la lettera all’interno della busta e in quella lettera il nome e l’indirizzo del mittente possono essere falsificati. Fondamentalmente, il client di posta mostra il mittente che è scritto nella lettera, non quello sulla busta (che può essere protetta con SPF).

DMARC è stato progettato esattamente per questo scopo: assicurarti che il mittente mostrato dal tuo client di posta elettronica sia affidabile. Ciò viene eseguito pubblicando un criterio DMARC che istruisce i destinatari a verificare se il mittente visualizzato dal destinatario corrisponde a SPF o DKIM. L’email deve essere inviata da un indirizzo IP autorizzato per quel dominio (SPF è ok), oppure deve essere firmata con una chiave legittima di quel dominio (la firma DKIM è ok), altrimenti non verrà consegnata.

DMARC deve essere configurato dominio per dominio dall’amministratore di posta elettronica del dominio di invio. Fornisce un’ottima protezione contro lo spoofing e la rappresentazione, ma la configurazione non è semplice e gli errori nella configurazione possono portare alla perdita della posta elettronica . Pertanto, la configurazione di DMARC deve essere eseguita con competenza, senza improvvisare.

Ci sono altri standard che sono stati introdotti nell’email, come TLS (per crittografare l’email in transito) e S / MIME o PGP per la crittografia end-to-end. Queste sono cose di cui non devi preoccuparti. TLS è gestito automaticamente dai server di posta. S / MIME e PGP hanno un’adozione minuscola a causa delle complessità legate alla gestione delle chiavi da parte degli utenti finali.

Ti interessa SPF, DKIM e DMARC per la tua organizzazione? Dovresti.
Inizia con SPF, quindi procedi con DKIM e infine valuta DMARC.

Queste configurazioni non risolveranno tutti i problemi di sicurezza della posta elettronica, ma renderanno la tua comunicazione e-mail molto più sicura e affidabile.

3 Novembre 2020

Scoperta nuova campagna di phishing rivolta agli utenti italiani

Tratto da BitMAT
Autore: Redazione BitMAT – 23/10/2020
 
Scoperta nuova campagna di phishing rivolta agli utenti italiani. Sfrutta un noto brand di telefonia per sottrarre dati personali
 

Il team di ricerca di Kaspersky ha individuato una nuova campagna di phishing rivolta agli utenti italiani, che sfrutta un noto brand di telefonia con l’obiettivo di rubare i dati personali.

In questi giorni, gli utenti italiani hanno ricevuto una email di phishing che annuncia alla vittima di essere stata selezionata per ricevere in regalo un iPhone XR. Nella mail viene chiesto agli utenti di accedere inserendo i propri dati di contatto e cliccare su un link per reclamare il premio. Di fatto l’obiettivo di questa email è di rubare i dati di accesso degli utenti. Inoltre, il mittente della comunicazione, “National Consumer Center”, è in realtà una finta organizzazione, nota per aver generato e distribuito in passato contenuti dannosi con l’intenzione di truffare gli utenti.

Gli attacchi di questo genere sono utilizzati in molti modi e per diversi scopi, per indurre gli utenti incauti a visitare un sito e inserire le proprie informazioni personali. Possono riguardare, in questo caso, le credenziali finanziarie come le password dei conti bancari o i dettagli della carta di credito, o ancora i dati di login agli account dei social media. Se sottratte, queste informazioni possono essere sfruttate per condurre diverse operazioni illecite, come il furto di denaro o la compromissione delle reti aziendali. Per questo motivi, il phishing è un metodo molto diffuso per avviare un’infezione. Inoltre, il phishing è un metodo di attacco efficace perché è praticato su larga scala. I criminali informatici aumentano le loro possibilità di carpire le credenziali di vittime ingenue inviando numerose email a nome di istituzioni legittime o promuovendo pagine false.

Tatyana Sidorina, Lead web content analyst di Kaspersky, ha commentato: “Sono diversi i tentativi di phishing che utilizzano schemi simili approfittando della notorietà di un brand. Ne osserviamo in continuazione. Ad esempio, secondo i dati anonimi elaborati dai prodotti Kaspersky nel periodo compreso tra il 14 e il 21 ottobre, sono state osservate alcune decine di risorse web sospette in tutto il mondo che proponevano agli utenti il pre-ordine del nuovo iPhone. È probabile però che risorse di questo tipo siano molte di più. Per evitare di cadere nella trappola dei cybercriminali raccomandiamo agli utenti di verificare sempre l’affidabilità delle risorse web e di diffidare di offerte troppo vantaggiose per essere vere.”

Per evitare di incorrere in un questo tipo di truffe, Kaspersky consiglia anche gli utenti di:

  • Fare attenzione alle novità, alle offerte e alle promozioni estremamente generose
  • Verificare che i messaggi provengano da fonti affidabili
  • Non cliccare i link da e-mail o messaggi sospetti
  • Verificare l’autenticità dei siti web visitati
  • Installare una soluzione di sicurezza con database aggiornati che includano la conoscenza delle più recenti risorse di phishing e spam.

28 Ottobre 2020

Phishing: attenzione alle false email provenienti dall’OMS

Tratto da BitMAT
Autore: Redazione BitMAT – 08/10/2020
 
 
Phishing: attenzione alle false email provenienti dall'OMS
 

I criminali informatici hanno ampiamente sfruttato l’emergenza sanitaria che negli ultimi mesi ha occupato le prime pagine di tutti i media, utilizzandola più volte come esca per diffondere numerosi malware. La strategia è stata spesso quella di nascondere i malware all’interno di documenti falsi sulla diffusione del coronavirus. Molti venivano diffusi come allegati di una mail contenenti le istruzioni su come proteggersi dal virus. In realtà, questi file contenevano diverse minacce tra cui Trojan e worm, in grado di distruggere, bloccare, modificare o copiare i dati, oltre ad interferire con il funzionamento dei computer o delle reti di computer. In questi giorni i ricercatori di Kaspersky hanno rilevato un’ulteriore minaccia che utilizza la stessa strategia. A fine settembre è stato rilevato uno schema di phishing che ha preso di mira gli utenti italiani. Circa 1.000 utenti italiani di soluzioni Kaspersky hanno ricevuto una mail, apparentemente inviata dall’OMS (Organizzazione Mondiale della Sanità) contenente una lettera in cui venivano indicate tutte le precauzioni da mettere in atto contro l’infezione.

La mail contiene in realtà un allegato dannoso attraverso il quale viene scaricato un Trojan: Trojan-Downloader.MSOffice.Agent.gen.

Phishing: attenzione alle false email provenienti dall'OMS

Tatyana Shcherbakova, security expert di Kaspersky ha dichiarato: “Abbiamo rilevato link simili in diverse lingue che sostenevano di contenere misure precauzionali emanate dall’OMS durante la prima ondata della pandemia. Dal momento che i tassi di infezione sono nuovamente in aumento, questo tipo di truffa è apparso nuovamente. L’OMS viene spesso utilizzata come esca per convincere le vittime che i documenti inviati siano legittimi”.

14 Ottobre 2020

Come difendersi dal phishing “ad azione ritardata”

I link di phishing nelle e-mail ai dipendenti si attivano spesso dopo la scansione iniziale. Ma possono ancora essere individuati e bisogna farlo.
 

Il phishing è da tempo un importante vettore di attacco alle reti aziendali. Non c’è da stupirsi, quindi, che tutti e tutto, dai provider dei servizi ai gateway di posta elettronica e persino i browser, utilizzino i filtri anti-phishing e si avvalgano della scansione degli indirizzi dannosi. Di conseguenza, i cybercriminali inventano costantemente nuovi metodi per aggirare questi sistemi di difesa e perfezionano quelli già collaudati. Uno di questi è il cosiddetto delayed phishing (che potremmo tradurre con “phishing ad azione ritardata”).

Cos’è il delayed phishing?

Il phishing ad azione ritardata è un tentativo di portare la vittima su un sito dannoso o falso utilizzando una tecnica nota come Post-Delivery Weaponized URL. Come suggerisce il nome, con questa tecnica viene sostituito il contenuto online con una versione dannosa dopo la consegna di un’e-mail che reindirizza su questo contenuto. In altre parole, la potenziale vittima riceve un’e-mail con un link che non conduce da nessuna parte o verso una risorsa legittima che potrebbe essere già compromessa, ma che in quel momento non ha alcun contenuto dannoso. Di conseguenza, il messaggio supera qualsiasi filtro. Gli algoritmi di protezione trovano l’URL nel testo, scansionano il sito collegato, non vedono nulla di pericoloso e lasciano passare il messaggio.

Ad un certo punto, dopo la consegna (sempre dopo la consegna del messaggio e idealmente prima della sua lettura), i cybercriminali cambiano il sito a cui reindirizza il messaggio o attivano contenuti dannosi su una pagina precedentemente innocua. Può essere un falso sito bancario o un exploit del browser che tenta di scaricare malware sul computer della vittima. In circa l’80% dei casi, comunque, si tratta di un sito di phishing.

Come vengono ingannati gli algoritmi anti-phishing?

I criminali informatici usano uno di questi tre modi per superare i filtri:

  • Utilizzo di un link semplice: in questo tipo di attacco, i cybercriminali hanno il controllo del sito bersaglio, che hanno creato da zero, hackerato o dirottato. I cybercriminali preferiscono questi ultimi, che tendono ad avere una reputazione positiva, il che che piace agli algoritmi di sicurezza. Al momento della trasmissione, il link conduce a uno stub privo di significato o, più comunemente, a una pagina con un messaggio di errore 404;
  • Modifica di un link accorciato: molti strumenti online permettono a chiunque di trasformare un URL lungo in uno più corto. Gli shortlink rendono la vita più facile agli utenti; in effetti, è corto, facile da ricordare e si può ritornare al link più lungo. In altre parole, innesca un semplice reindirizzamento. Con alcuni servizi è possibile modificare i contenuti nascosti dietro uno shortlink, una scappatoia che sfruttano i cybercriminali. Al momento della consegna del messaggio, l’URL rimanda a un sito legittimo, ma dopo un po’ lo convertono in un sito dannoso;
  • Aggiunta di un link accorciato casuale: alcuni strumenti per l’accorciamento del link consentono il reindirizzamento probabilistico. Cioè, il link ha il 50% di possibilità di portare su google.com e il 50% di possibilità di aprire un sito di phishing. La possibilità di arrivare su un sito legittimo apparentemente può confondere i crawler (programmi per la raccolta automatica di informazioni).

Quando i link diventano dannosi?

I cybercriminali di solito operano partendo dal presupposto che la loro vittima sia un normale lavoratore che dorme di notte. Pertanto, i messaggi di phishing ad azione ritardata vengono inviati dopo la mezzanotte (nel fuso orario della vittima) e diventano dannosi poche ore dopo, verso l’alba. Guardando le statistiche di quando si attivano i sistemi anti-phishing, vediamo un picco intorno alle 7-10 del mattino, quando gli utenti, dopo aver preso un caffè. cliccano su link che erano legittimi al momento dell’invio, ma che ora sono dannosi.

Anche lo spear-phishing non rimane certo a guardare. Se i criminali informatici trovano una persona specifica da attaccare, possono studiare la routine quotidiana della loro vittima e attivare il link dannoso a seconda di quando la vittima è solita controllare la posta.

Come identificare il delayed phishing

Idealmente, bisogna evitare che il link di phishing arrivi all’utente, per cui una nuova scansione della posta in arrivo sembrerebbe la strategia migliore. In alcuni casi, ciò è fattibile: ad esempio, se la vostra azienda utilizza un server di posta Microsoft Exchange.

A partire da questo mese, Kaspersky Security for Microsoft Exchange Server supporta l’integrazione del server di posta elettronica attraverso l’API nativa, che consente di ripetere la scansione dei messaggi già presenti nella casella di posta. Un tempo di scansione opportunamente configurato garantisce il rilevamento di tentativi di delayed phishing senza creare un carico aggiuntivo sul server nel momento di picco della posta.

La soluzione consente anche di monitorare la posta interna (che non passa attraverso il gateway di sicurezza della posta, e quindi non viene analizzata dai filtri e dai motori di scansione), nonché di implementare regole di filtraggio dei contenuti più complesse. In casi particolarmente pericolosi di business email compromise (BEC), in cui i cybercriminali ottengono l’accesso a un account di posta aziendale, assume particolare importanza la possibilità di ripetere la scansione dei contenuti delle caselle di posta e di controllare la corrispondenza interna.

Autore: Oleg Gorobets
Tratto da Blog Kaspersky – 25/09/2020

28 Settembre 2020

Un brutto esempio di phishinig

La diffusione dei Ransomware ha portato molta attenzione al tema della sicurezza informatica ed in particolare verso tutti i metodi di protezione dai ransomware, trascurando l’esistenza di altre pericolose minacce.

Fra queste c’è senza dubbio in Phishing, che continua attraverso campagne mirate a sottrarre dati personali da rivendersi nel mercato nero.

Stamattina mi è capitato di osservare un messaggio di phishing correttamente classificato, ma che mi ha fatto riflettere su alcuni aspetti caratterizzanti di questo messaggio.

Vediamo come era composto:

Delivered-To: <rimosso>
Received: by 10.202.62.131 with SMTP id l125csp2191720oia;
        Tue, 31 May 2016 14:13:07 -0700 (PDT)
X-Received: by 10.194.173.132 with SMTP id bk4mr110281wjc.92.1464729186993;
        Tue, 31 May 2016 14:13:06 -0700 (PDT)
Return-Path: <root@mail.yervaguena.com>
Received: from mail.yervaguena.com (mail.yervaguena.com. [5.56.57.43])
        by mx.google.com with ESMTPS id o84si39196803wmb.94.2016.05.31.14.13.06
        for <angelopenduzzu@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Tue, 31 May 2016 14:13:06 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of root@mail.yervaguena.com designates 5.56.57.43 as permitted sender) client-ip=5.56.57.43;
Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of root@mail.yervaguena.com designates 5.56.57.43 as permitted sender) smtp.mailfrom=root@mail.yervaguena.com
Received: by mail.yervaguena.com (Postfix, from userid 0)
	id 3DFF513A22A; Tue, 31 May 2016 22:44:06 +0200 (CEST)
To: <rimosso>
Subject: Accesso bloccato al tuo account CheBanca associato con l'indirizzo e-mail angelopenduzzu@gmail.com .
X-PHP-Originating-Script: 0:ch3.php
From: CheBanca! <noreply.5206@ingdirectitalia.it>
Reply-To: noreply.5206@ingdirectitalia.it
Content-Type: text/html
Message-Id: <20160531204406.3DFF513A22A@mail.yervaguena.com>
Date: Tue, 31 May 2016 22:44:06 +0200 (CEST)


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<a href="http://www.chebanca.it.voKUCJ.thearborist.co.nz/.chebanca.it/?sicurezza=voKUCJ">
<img src="http://www.chebanca.it.Rzfuwt.thearborist.co.nz/images/chebancalogo205.png" height="261" width="632" border="0"></a> <text-align:center;margin-top: -19px;\"><b> </b></p></div
</html>'

Gli aspetti interessanti sono due:

  • L’indirizzo del mittente usa il dominio ingdirectitalia.it di proprietà di una nota banca online che opera a livello internazionale, purtroppo da una rapida analisi scopriamo che non hanno registrato un record SPF e quindi il messaggio non è stato bloccato. 
    dig ingdirectitalia.it TXT
; <<>> DiG 9.10.3-P4-Ubuntu <<>> ingdirectitalia.it TXT
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41050
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
;; QUESTION SECTION:
;ingdirectitalia.it.        IN    TX
;; AUTHORITY SECTION:
ingdirectitalia.it.    3600    IN    SOA    dns1.fastweb.it. dnsmaster.fastweb.it. 2015121001 10800 900 604800 86400
;; Query time: 1133 msec
;; SERVER: 127.0.1.1#53(127.0.1.1)
;; WHEN: Wed Jun 01 07:10:48 CEST 2016
;; MSG SIZE  rcvd: 95
  • L’indirizzo a cui punta il collegamento inizia con http://www.chebanca.it che ad una lettura superficiale potrebbe anche far credere che si tratti dell’indirizzo giusto, mentre invece il vero dominio è: thearborist.co.nz

Infine un’ultima considerazione, nelle intestazioni possiamo trovare che il messaggio è stato spedito da uno script php:

X-PHP-Originating-Script: 0:ch3.php

Il furto di identità è ancora una pratica molto diffusa e le campagne di Phishing quotidiane. Un incidente di sicurezza causato dalla perdita di credenziali di accesso può produrre danni economici più ingenti rispetto al BitCoin solitamente necessario per acquistare la chiave di decrittazione per un ransomware (acquisto che continuiamo a sconsigliare perchè significherebbe incrementare le disponibilità economiche e la motivazione dei gruppi che sviluppano e diffondono ransomware).

L’unico modo per risparmiare è dotarsi di un antispam efficace in grado di bloccare i messaggi più pericolosi.

Logo_Esva

LibraESVA è la soluzione Italiana ai problemi di spam e phishing, in grado di ridurre drasticamente del 99,99% la presenza di messaggi di spam nelle nostre mailbox ed ridurre quasi a zero la presenza di malware negli allegati potendo effettuare la scansione con più motori antispam.

argonavislab

Argonavis é partner LibraESVA e può fornirti tutte le informazioni commerciali e tecniche per implementare LibraESVA e migliorare la sicurezza della tua infrastruttura ed in particolare della posta elettronica.

Richiedi Informazioni

1 Giugno 2016

Blog & News

Categorie