email security

Email Security

27/12/2022

Stando al rapporto Clusit “nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente e sono sempre più gravi”. 
Gli attacchi crescono in quantità e qualità e per la prima volta dopo anni si evince che gli attaccanti non mirano più a multiple targets, bensì a target mirati e ben specifici.

Al giorno d’oggi in cui il digital permea la nostra quotidianità, risulta necessario comprendere che la sicurezza non è un prodotto, cioè un qualcosa che acquistiamo come black-box per proteggerci, ma è un processo, un insieme di strategie e soluzioni atte a garantire un alto livello di sicurezza. 

Agli albori Internet è stato costruito con una visione ottimistica e quindi senza tener contro della sicurezza della rete. Oltre a ciò, ci sono tanti altri elementi che favoriscono una bassa sicurezza in generale: ad esempio l’alta competitività che porta ad un basso “time-to-market” finalizzato ad un ROI alto (Return on Investiment), oppure ad uno scarso testing del software o peggio, un design iniziale che non tenga in considerazione di aspetti di sicurezza che ad oggi nessuna software house può evitare.

Per ottenere un buon livello di sicurezza, ogni elemento della catena dev’essere forte: i dati ci confermano che l’anello debole non sono gli strumenti informatici, ma proprio le persone.

Secondo Verizon, il 91% degli attacchi informatici utilizza le mail come vettore d’attacco.
A tal proposito si definiscono come “social engineering” l’insieme di tecniche utilizzate dagli hacker per manipolare la psicologia umana e indurre l’utente a eseguire certe azioni. Purtroppo per noi, questi sistemi di attacco sono semplici da implementare, economici e allo stesso tempo molto remunerativi.

Una forma molto usata di social engineering è il “phishing” per il quale gli utenti vengono spinti ad agire senza pensare alle conseguenze sfruttando e-mail, siti web clonati, ecc…
Esistono diverse tipologie di Phishing in base a come viene sfruttato il fattore umano:

  • Spear Phishing: si concentra su uno specifico target (individuo od organizzazione) ed è mirato alla sottrazione di informazioni sensibili. 
  • Vishing: è una truffa di phishing che utilizza come strumento di veicolazione il telefono. Tra tutte le tipologie di phishing è quella che richiede più interazione umana.
  • Whaling: si distingue dalle altre tipologie per la scelta del target di alto livello. Infatti, il Whaling è un tentativo di ottenere informazioni riservate e sensibili all’alta dirigenza di un’azienda.
  • Smishing: è un tipo di phishing che utilizza gli SMS invece che le tradizionali e-mail.
  • E-mail Phishing: è la tipologia più sfruttata per ottenere informazioni personali o sensibili oppure per veicolare l’installazione di software malevoli.

Secondo Proofpoint, in media, il budget di sicurezza informatica investito dalle aziende per la parte e-mail costituisce l’8% del totale, ma il problema è che le mail costituiscono il principale vettore d’attacco.
In generale, chi difende ha come focus principale la parte di networking; invece, gli attaccanti hanno come target principale le persone!

Cyber Kill Chain

In generale un attacco informatico, qualunque sia il vettore iniziale ha una precisa kill chain (un modello di cyberattacco a più fasi):

  1. Recupero delle informazioni sul target
  2. Creazione del payload malevolo (creo l’arma)
  3. Consegna del pacchetto malevolo
  4. Esecuzione del malware sfruttando le vulnerabilità del sistema o tecniche di social-engineering 
  5. Creazione di un’installazione persistente sulla macchina target
  6. Creazione di un canale di comunicazione con i server Command & Control
  7. Esecuzione delle azioni sul target

Come appare una mail di Phishing?

I cybercriminali fanno leva su due fronti: la paura e il senso di urgenza. Un copione molto frequente è ad esempio informare gli utenti che il loro account è stato bloccato o verrà sospeso se si ignora l’e-mail. La paura porta gli utenti presi di mira a non far caso ai segnali rivelatori di un tentativo di phishing in atto, dimenticandosi di ciò che hanno imparato sul phishing. Di tanto in tanto perfino gli amministratori e gli esperti di sicurezza cadono vittime del phishing.
Solitamente, la stessa e-mail di phishing viene inviata a più persone possibile, perciò i saluti iniziali sono spesso generici.

Vediamo nel dettaglio alcuni consigli per aumentare il nostro livello di attenzione verso questo tipo di e-mail:

  1. Investigare il campo «Oggetto»: le e-mail di phishing utilizzano spesso un linguaggio urgente, spaventoso o minaccioso, questo per minimizzare il tempo d’analisi da parte dell’utente e indurlo all’azione senza troppi accorgimenti.
  2. Investigare i campi «From» e «To»: questi campi, in gergo tecnico “display name”, possono essere modificati da un attaccante e non costituiscono l’analogia con indirizzo e numero civico per l’invio della tradizionale posta urbana.
    È buona norma porsi domande di questo tipo: ho già ricevuto email da questo indirizzo? È normale ricevere email da questo indirizzo? Se si ha familiarità con questo indirizzo email, leggerlo attentamente e controllare errori di ortografia e sintassi. Ad esempio paypal.com può diventare paypall.com, fasternet.it può diventare fasternet.lt. Il campo To contiene indirizzi e-mail anomali?
  3. Investigare i link: controllare i link contenuti nella mail passando il mouse sopra il testo al fine di rilevare l’indirizzo reale: il testo del link e l’indirizzo di destinazione reale possono essere differenti!
    Prestare attenzione poiché alcuni attaccanti utilizzano servizi di URL brevi per mascherare l’URL reale di phishing (es. Bitly, TinyURL, Tinycc…).
  4. Investigare il contenuto e gli allegati: è buona norma porsi domande di questo tipo: il testo della mail contiene un linguaggio urgente, spaventoso o minaccioso? Ci sono errori ortografici, grammaticali o traduzioni scadenti? Viene richiesto di aprire l’allegato? È normale che quel mittente ci chieda di aprire un allegato?

In generale non esiste una bacchetta magica per proteggerci da attacchi di phishing, ma una combinazione di buon senso, scetticismo, soluzioni hardware e software e training continuo aiutano ad innalzare il livello di sicurezza e di filtraggio per questi attacchi. In sintesi, applicare un «sano sentimento di diffidenza» (C. Migliorati, Sabaf). E quindi:

  • non rivelare informazioni sensibili;
  • se si hanno dei dubbi, contattare il mittente via telefono (non utilizzare le informazioni in calce alla mail sospetta!)
  • chiudere schermate di pop-up e non inserire alcun dato.

Cosa abbiamo analizzato nell’ultimo anno?

Come Fasternet nell’ultimo anno e mezzo abbiamo lavorato su un campione di circa 3400 utenti avviando campagne di formazione mirate e continue secondo l’approccio del “continuous learning”. Analizzando i dati ottenuti dalle campagne di phishing simulato si evince che il 59,40% delle persone ha aperto la mail e il 22,18% ha fatto click sul link potenzialmente malevolo.
Inoltre, si evince che per ciascuna azienda od organizzazione c’è sempre qualcuno che clicca sul link potenzialmente malevolo. Si trae che in media il 22,12% dei dipendenti di un’azienda fa click sul link contenuto in una mail di Phishing.

Analizzando invece i punteggi medi degli utenti a fronte del primo assessment in confronto con quello di un anno dopo, si registra un trend di miglioramento medio del 27%. Questo implica che effettuando un percorso di formazione continua e mirata a tutti gli utenti, la superficie d’attacco sfruttabile da un attaccante risulta minore già dopo un anno.

La PEC è sicura?

Le email costituiscono il canale di comunicazione primario per quanto concerne il mondo digitale. Il successo è dovuto a diversi fattori, tra cui la sua economicità e facilità d’utilizzo da parte degli utenti, nonché all’immediatezza di trasmissione.
Le email, però, presentano varie criticità in termini di sicurezza informatica: non garantiscono, ad esempio, la veridicità di mittente e destinatario o dell’orario di trasmissione, nonché permettono il ripudio da parte del destinatario di quella comunicazione.

Da questi fattori è nata l’esigenza di una forma di comunicazione simile, ma che potesse avere validità giuridica: la PEC (Posta Elettronica Certificata).
La PEC è simile alle tradizionali raccomandate postali, ma in forma completamente digitale e assicura agli utenti la certezza, il valore legale, l’invio e la consegna, o la mancata consegna, dei messaggi e-mail al destinatario.
La PEC garantisce, quindi, l’integrità del messaggio inviato, il non ripudio e l’attendibilità di mittente e destinatario tramite l’utilizzo della firma digitale.

La PEC, tuttavia, non garantisce la confidenzialità dei dati trasmessi poiché i messaggi non vengono cifrati, ma vengono comunque trasmessi in chiaro. Inoltre non è esente da attacchi informatici, in quanto sempre più spesso anche le PEC vengono sfruttate come vettore d’attacco iniziale allo stesso modo delle più tradizionali e-mail.

Read more