Sentiamo spesso parlare di Cybersicurezza, e mentre ci immaginiamo enormi stanzoni pieni di Server presi di mira da cybercriminali, ci dimentichiamo che le Email sono forse il bersaglio preferito.
La criminalità informatica continua a far leva sullo strumento della posta elettronica come chiave di accesso e via preferenziale per un attacco.
Perché le Email sono prese di mira
Secondo il rapporto CLUSIT* dell’ottobre 2021, le ragioni che spingerebbero i cybercriminali a puntare sulle email sono di carattere pratico. I Cybercriminali sono mossi da motivazioni economiche, ma se colpire un pesce grosso può sembrare il loro unico modus operandi, ci si dimentica del vantaggio di distribuire attacchi più semplici ma ad un’enorme platea. Cosa facilissima da fare con l’invio automatico di Email.
Inoltre la posta elettronica è usata da tutti. Ed è lo strumento principe della comunicazione interna in ambito aziendale.
Spesso non ci pensiamo, ma i cosiddetti “mail server”, contengono moltissime informazioni delicate e sensibili. Riuscire a perforarne uno può portare grandi vantaggi per un attaccante. Ultimo ma non ultimo, gli utenti utilizzano le email senza capirne le vulnerabilità, anzi, considerandolo un mezzo più che sicuro. Di conseguenza è facile che ne facciano un utilizzo quanto meno “leggero” e poco prudente.
La minaccia con riscatto: il Ransomware
Fra le minacce più comuni che utilizzano la posta elettronica come maggiore mezzo di diffusione, troviamo il ransomware. Si tratta di un tipo di malware che viene utilizzato dagli hacker per bloccare un sistema informatico. Al proprietario del sistema, che una volta infettato diventa inutilizzabile, viene chiesto di pagare un riscatto per riaver indietro quel che suo.
È sicuramente un tipo di attacco un po’ datato, ma che negli ultimi anni ha avuto una forte crescita. Infatti si è evoluto anche il modo in cui viene utilizzato; in ostaggio non ci finisce più un singolo dispositivo, ma la tendenza è di puntare a tutti i sistemi di un’azienda. Nel 2017 l’azienda Proofpoint ha addirittura pubblicato sul proprio sito un’utilissima guida anti ransomware, per permettere ad utenti e aziende di proteggersi. Le informazioni sono valide ancora oggi, poiché il sistema non è cambiato. È solo aumentato (esponenzialmente) di frequenza.
Il Phishing
Anche qui una vecchia conoscenza, di cui ci siamo già occupati in passato. Letteralmente in italiano “pésca”, gli attacchi di phishing avvengono con il ricevimento di email dannose, concepite per ingannare gli utenti a portarli a cliccare su un dato link, comunicare informazioni finanziarie, credenziali e via dicendo.
Questo sistema viene oggi spesso usato anche con l’invio di SMS malevoli. Tuttavia è nelle email che il phishing trova il suo terreno più fertile. Molte delle mail dannose sono create con cura certosina affinché sembrino identiche all’utente che stanno imitando. Per lo più banche o altri servizi finanziari. Sebbene a volte sia facile riconoscerne la fraudolenza, “pescando nel mucchio” gli hacker si assicurano qualche vittima.
BEC: violazione dell’email aziendale
Si chiamano attacchi BEC (Business Email Compomise) e sono in forte crescita. Spingono la vittima a trasferire fondi sul conto corrente del criminale informatico. Ad esempio con finte fatture da parte di un fornitore, o con un’email ben curata, che induce in errore un cliente. Infatti uno degli aspetti più insidiosi dei BEC è l’utilizzo di strategie che impersonano un contatto fidato. Soprattutto grazie a un lavoro di social engineering, i cyber criminali si fingono fornitore, collega, CEO o un esponente delle forze dell’ordine. Qualsiasi cosa pure di far cadere la vittima nell’inganno.
Cybersicurezza delle email. Come fare?
Da questo breve elenco risulta quindi chiaro come sia fondamentale fare attenzione alle proprie email e proteggersi. Non solo nel caso di privati, ma anche di aziende . Come fare dunque?
Esiste un misto di soluzioni tecniche a a soluzioni di consapevolezza (la cosiddetta awareness) che sarebbe bene porre in essere per avere una protezione efficace.
Dal lato tecnico è bene non esporre il mail server direttamente su internet. Per fare questo si utilizza un email gateway, che separa il server di posta dalla rete.
È consigliato inoltro l’utilizzo di protocolli di autenticazione SPF, DKIM e DMARC . Infatti le mail di base utilizzano un protocollo molto debole, l’SMTP, che però ad oggi risulta pieno di lacune per far fronte alle nuove sfide della Cybersicurezza.
Sulla posta elettronica è essenziale programmare dei backup periodici. Ma attenzione, i backup “online”, ad esempio su Cloud, non possono essere considerati sicuri. Il backup è sicuro quando i dati sono salvati offline, poiché i moderni Ransomware prendono di mira anche questi. Il ricatto funziona meglio se il criminale ha in mano anche il salvagente su cui l’azienda contava per salvarsi!
Dal lato della consapevolezza, invece, è fondamentale la formazione agli utenti.
Gli utenti, che sono il punto attivo che scambia informazioni con le mail, devono avere consapevolezza dello strumento e devono comportarsi in maniera da ridurre al minimo il rischio. Sapere cosa si sta facendo, riconoscere una mail che è chiaramente phishing, avere gli strumenti quanto meno per sospettare che qualcosa non sta andando nel verso giusto, sono i requisiti minimi per lavorare in sicurezza.
Per Approfondire:
CLUSIT- Rapporto CLUSIT 2021 sulla sicurezza ICT in Italia
Proof Point- Manuale di sopravvivenza ransomware
Cybersecurity360- Microsoft Exchange: il 92% dei server colpiti dalle vulnerabilità ProxyLogon è stato patchato
*Il CLUSIT è l’associazione Italiana per la sicurezza informatica e racchiude al suo interno i maggiori specialisti del settore. Il rapporto CLUSIT è un rapporto semestrale con importanti contributi da tutto il paese e un’analisi dei dati raccolti dagli specialisti.