Blog

Furto d'identità via email: significato, esempi e prevenzione

DeBounce
Articoli
24 min letto
Argomenti

Condividi questo articolo

Copia URL

Punti chiave

  • L'impersonificazione via e-mail si verifica quando un malintenzionato invia messaggi che sembrano provenire da una persona o organizzazione fidata, senza bisogno di violare l'account reale.
  • I tre metodi più comuni di impersonificazione tramite email sono la falsificazione del nome visualizzato, i domini simili e gli account compromessi.
  • Le frodi ai danni dell'amministratore delegato, le truffe con fatture dei fornitori e le false email di assistenza clienti sono le tipologie di attacco che causano i maggiori danni finanziari e di reputazione alle aziende.
  • Quando si tratta di prevenire gli attacchi di impersonificazione tramite e-mail, la formazione dei dipendenti e i flussi di lavoro di verifica interni sono importanti quanto i controlli tecnici.

Arriva un'email nella casella di posta del responsabile finanziario: proviene dall'amministratore delegato e richiede un bonifico urgente. Il nome del mittente è corretto e il tono sembra appropriato. L'unico problema è che l'amministratore delegato non l'ha mai inviata.

Si tratta di furto d'identità via e-mail, una delle forme di criminalità informatica più comuni e costose che colpiscono le aziende al giorno d'oggi. A differenza dei malware o dei complessi tentativi di hacking, gli attacchi di furto d'identità non si basano su sofisticate tecniche. Spesso, basta un nome del mittente credibile e un destinatario impegnato che non ha tempo di verificare i dettagli. Statistiche sullo spam via email I risultati mostrano che una quota significativa del traffico email dannoso implica una qualche forma di furto d'identità, il che rende questo un rischio che ogni azienda deve comprendere e contrastare attivamente.

Questa guida spiega come funzionano gli attacchi di impersonificazione via e-mail, come si presentano in genere in situazioni reali e quali misure pratiche possono adottare le aziende per prevenirli.

Che cos'è l'usurpazione di identità via e-mail?

L'impersonificazione via e-mail è la pratica di inviare e-mail che sembrano provenire falsamente da un mittente fidato, come un collega, un dirigente, un fornitore o un marchio noto, con l'intento di ingannare il destinatario e indurlo a compiere un'azione dannosa. Tale azione potrebbe consistere nel trasferire denaro, condividere le credenziali di accesso, cliccare su un link dannoso o divulgare informazioni sensibili.

Ciò che distingue l'impersonificazione dallo spam ordinario è il targeting deliberato. Gli attacchi di impersonificazione sono creati per sfruttare una relazione preesistente o un'aspettativa di fiducia. L'aggressore non sta cercando di vendere qualcosa, ma sta cercando di diventare qualcun altro.

Fondamentalmente, l'impersonificazione via email non richiede all'attaccante di avere accesso all'account del mittente reale. Nella maggior parte dei casi, è sufficiente che si crei un'apparenza di legittimità utilizzando trucchi tecnici o tecniche di ingegneria sociale. È proprio questo che rende la tecnica così accessibile agli aggressori e così pericolosa per le organizzazioni di qualsiasi dimensione.

Come funziona l'impersonificazione tramite email

Gli hacker utilizzano tre metodi principali per far sembrare che le loro email provengano da qualcun altro.

Come funziona l'impersonificazione tramite email

Falsificare il nome visualizzato

I client di posta elettronica come Outlook e Gmail mostrano in modo prominente il nome visualizzato del mittente, mentre l'indirizzo email effettivo è spesso nascosto a meno che il destinatario non faccia clic per espanderlo. Gli hacker sfruttano questa vulnerabilità impostando il proprio nome visualizzato su "John Smith, CEO" mentre inviano da un indirizzo completamente diverso, come [email protected]Molti destinatari non controllano mai l'indirizzo associato al nome.

Utilizzo di domini simili o falsi

Una tattica più avanzata prevede la registrazione di un dominio quasi identico a quello reale utilizzato dall'azienda. Se la vostra organizzazione utilizza acmecorp.com, un malintenzionato potrebbe registrare qualcosa come acme-corp.com, acmecorp.net o acrnecorp.com, modificando leggermente un singolo carattere.

A prima vista, questi indirizzi sembrano legittimi. Poiché il dominio stesso esiste e può inviare email normalmente, i messaggi provenienti da esso spesso superano i controlli di base del mittente. Questo rende l'attacco più difficile da individuare rispetto al semplice spoofing del nome visualizzato. La tecnica è strettamente correlata a spoofing delle e-maile i due vengono spesso utilizzati insieme.

Compromettendo un account reale

Quando un malintenzionato ottiene l'accesso a un account di posta elettronica tramite phishing, furto di credenziali o violazione dei dati, può inviare messaggi direttamente dall'indirizzo legittimo. Questa è la forma di impersonificazione più difficile da rilevare perché le email provengono effettivamente dal mittente dichiarato. I principali strumenti di difesa in questo caso sono i robusti controlli di autenticazione e il monitoraggio.

Tipi comuni di attacchi di impersonificazione tramite e-mail

Gli attacchi di impersonificazione seguono schemi prevedibili. Comprendere gli scenari più comuni aiuta i team a riconoscerli e a reagire più rapidamente.

Tipi di attacchi di impersonificazione tramite e-mail

Impersonare un CEO e un dirigente

Conosciuto anche come Business Email Compromise (BEC) o frode del CEO, questo tipo di attacco prevede che un impostore si spacci per un dirigente di alto livello, in genere il CEO, il CFO o un altro membro del consiglio di amministrazione, per fare pressione su un dipendente affinché compia un'azione non autorizzata.

I bersagli sono solitamente dipendenti che hanno autorità sulle transazioni finanziarie o accesso a dati sensibili, come i team finanziari, le risorse umane, gli addetti alla gestione delle paghe e gli assistenti di direzione. Le richieste sono formulate in modo da sembrare urgenti e riservate: "Non coinvolgere nessun altro, elabora la pratica prima della chiusura del mercato".

Gli obiettivi comuni includono bonifici bancari fraudolenti, acquisti di carte regalo, richieste di dati W-2 o buste paga e modifiche ai dettagli del deposito diretto. L'FBI Centro di reclamo per crimini su Internet (IC3) ha costantemente identificato le frodi BEC come una delle categorie di criminalità informatica con le perdite più ingenti a livello globale, con miliardi di dollari persi ogni anno.

Impersonare fornitori e partner

In questo scenario, gli aggressori si spacciano per un fornitore, un appaltatore o un partner commerciale noto. In genere, ottengono informazioni sufficienti sul rapporto, spesso tramite fonti pubblicamente disponibili o una precedente violazione dei dati, per rendere credibili le loro e-mail.

Un tipico attacco consiste nell'invio di una fattura contraffatta identica a quelle originali del fornitore, con una sola differenza: il numero di conto corrente bancario. Il destinatario effettua quello che sembra un normale pagamento e i fondi finiscono sul conto del truffatore. Il recupero è difficile e spesso impossibile (prima che la frode venga scoperta).

Questo tipo di attacco è particolarmente pericoloso perché sfrutta la fiducia consolidata. Al destinatario non viene chiesto di fare nulla di insolito, ma semplicemente di pagare un fornitore con cui collabora regolarmente.

Simulazione dell'assistenza clienti

Gli hacker si fingono addetti all'assistenza clienti di un'azienda o di un servizio. Invece di cercare di ingannare i dipendenti dell'organizzazione, prendono di mira gli utenti o i clienti abituali di quel servizio. Inviano email che sembrano provenire dal reparto di assistenza di un'azienda nota (una banca, un fornitore di software o una piattaforma di e-commerce), avvertendo il destinatario di un problema con l'account che richiede un intervento immediato.

L'obiettivo è in genere il furto di credenziali. L'e-mail contiene un link a una pagina di accesso falsa e convincente in cui la vittima inserisce il proprio nome utente e la password, consegnandoli direttamente all'aggressore. Questo approccio è anche collegato a farmaceutico tecniche in cui gli utenti vengono reindirizzati a siti web falsi progettati per sembrare legittimi. Le credenziali rubate possono quindi essere utilizzate per impossessarsi degli account, rivendute o utilizzate per lanciare ulteriori attacchi.

 Come prevenire l'usurpazione di identità tramite e-mail

Una protezione efficace contro l'usurpazione di identità via e-mail richiede un approccio a più livelli. Nessun singolo controllo è sufficiente: misure di sicurezza tecniche, consapevolezza umana e procedure interne devono operare in sinergia.

Come prevenire l'usurpazione di identità tramite e-mail

Protocolli di autenticazione e-mail

Tre protocolli di autenticazione e-mail I protocolli che funzionano tramite DNS aiutano a prevenire l'impersonificazione del dominio. Questi protocolli dovrebbero essere configurati per ogni dominio che la tua organizzazione utilizza per inviare email, non solo per il dominio principale, ma anche per eventuali domini secondari o inattivi che appartengono ancora alla tua organizzazione.

  • SPF (quadro delle politiche del mittente): Un record DNS che elenca i server di posta autorizzati a inviare email utilizzando il tuo dominio. Quando un server ricevente controlla un messaggio in arrivo, verifica se il server mittente è presente nell'elenco approvato. In caso contrario, il messaggio può essere segnalato o rifiutato.
  • DKIM (posta identificata da DomainKeys): Aggiunge una firma crittografica ai messaggi in uscita, che il server ricevente può verificare. Conferma che l'e-mail proviene effettivamente dal tuo dominio e non è stata alterata durante il transito.
  • DMARC (autenticazione, segnalazione e conformità dei messaggi basata sul dominio): Si basa su SPF e DKIM, consentendo ai proprietari di dominio di specificare cosa deve accadere quando un messaggio non viene autenticato: solo monitoraggio, quarantena o rifiuto. DMARC invia inoltre report al proprietario del dominio che mostrano quali server inviano email utilizzando il dominio, il che aiuta a monitorare e controllare le fonti di invio autorizzate.

Impostare DMARC su una policy di "rifiuto" è la protezione più efficace, ma in genere le organizzazioni iniziano con la modalità "monitoraggio" per comprendere il traffico email legittimo prima di imporre regole più rigide. Crittografia e-mail Aggiunge un ulteriore livello di protezione al contenuto dei messaggi, sia durante il transito che a riposo.

Formazione e sensibilizzazione dei dipendenti

I controlli tecnici bloccano alcuni tentativi di impersonificazione, ma molti attacchi sono progettati per eludere i filtri automatici e raggiungere caselle di posta elettronica reali. Per questo motivo, la formazione del personale è fondamentale.

I dipendenti a tutti i livelli devono comprendere:

  • Come verificare l'indirizzo email effettivo del mittente, e non solo il nome visualizzato. Nella maggior parte dei client di posta elettronica, passando il mouse sopra il nome del mittente o cliccandoci sopra, viene visualizzato l'indirizzo email corrispondente.
  • I segnali di allarme della manipolazione basata sull'urgenza includono messaggi che li spingono ad agire rapidamente, a saltare le normali fasi di approvazione o a mantenere la richiesta riservata alla direzione.
  • Cosa fare quando una richiesta sembra insolita, anche se apparentemente proviene da un contatto conosciuto. Una rapida telefonata di verifica è sempre più veloce che rimediare a una frode.
  • Come funzionano i domini simili e cosa cercare quando un indirizzo sembra leggermente diverso, ad esempio lettere invertite, trattini aggiunti o un dominio di primo livello diverso.

La formazione dovrebbe essere pratica e ripetuta, non un'attività una tantum. Le simulazioni di campagne di phishing, in cui i team IT o di sicurezza inviano false e-mail di impersonificazione al personale, sono uno dei metodi più efficaci per rafforzare la consapevolezza e identificare chi necessita di ulteriore supporto.

Strumenti e filtri di sicurezza

Gli strumenti di sicurezza progettati appositamente offrono funzionalità di rilevamento e blocco che i filtri email di base non sono in grado di fornire.

  • I filtri anti-phishing e anti-spoofing analizzano i messaggi in entrata alla ricerca di caratteristiche associate all'usurpazione d'identità, come domini non corrispondenti, dati di intestazione sospetti, indirizzi del mittente simili e link dannosi noti.
  • Le soluzioni di gateway di posta elettronica si interpongono tra Internet e il server di posta, applicando ulteriori controlli prima che i messaggi raggiungano le caselle di posta dei dipendenti.
  • I servizi di monitoraggio dei domini ti avvisano quando vengono registrati nuovi domini molto simili al tuo, fornendoti un preavviso di un potenziale attacco di tipo lookup domain prima che venga sfruttato.
  • Gli strumenti di reporting DMARC trasformano i report DMARC grezzi in dashboard di facile lettura, semplificando l'individuazione dei mittenti non autorizzati che utilizzano il tuo dominio.

Lavorare con aziende affermate aziende di sicurezza della posta elettronica può aiutarvi a valutare quali strumenti sono appropriati per le dimensioni, l'infrastruttura e il profilo di rischio della vostra organizzazione.

Procedure di verifica

L'ultimo livello di difesa è procedurale: flussi di lavoro interni che richiedono una verifica fuori banda per le richieste ad alto rischio, indipendentemente da quanto legittima appaia l'e-mail.

Le procedure di verifica efficaci includono:

  • È una politica rigorosa che vieta l'approvazione di bonifici bancari, modifiche di pagamento o richieste di dati sensibili basate esclusivamente sull'e-mail. Qualsiasi richiesta di questo tipo, indipendentemente da chi sembri provenire, deve essere confermata telefonicamente o di persona utilizzando un numero di telefono presente nella rubrica interna, non quello fornito nell'e-mail.
  • Requisiti di doppia approvazione per le transazioni finanziarie superiori a una determinata soglia. Avere due persone diverse che esaminano e approvano un pagamento rende significativamente più difficile che una singola email fraudolenta basata sull'usurpazione d'identità abbia successo.
  • Un percorso di segnalazione chiaro per le email sospette. I dipendenti devono sapere esattamente chi contattare e come quando ricevono un messaggio che sembra strano, e devono sentirsi sicuri di segnalarlo senza timore di imbarazzo.

Queste procedure non comportano alcun costo di implementazione e sono spesso più efficaci dei controlli tecnici per contrastare gli attacchi di ingegneria sociale.

Cosa fare se si è vittime di furto d'identità via e-mail

Se scoprite che qualcuno si sta spacciando per la vostra organizzazione o che un dipendente è stato vittima di un attacco informatico, agite tempestivamente. Le prime ore sono cruciali.

Cosa fare se si è vittime di furto d'identità via e-mail

Misure di intervento immediate:

  1. Contenere i danni: Se il pagamento è stato effettuato, contatta immediatamente la tua banca per tentare di annullarlo. Gli istituti finanziari hanno tempi limitati per intervenire, quindi la rapidità è fondamentale.
  2. Conserva le prove: Non cancellare le email che imitano la tua identità. Salva le intestazioni complete dei messaggi, gli screenshot e qualsiasi corrispondenza correlata. Questa documentazione è essenziale per la segnalazione e per qualsiasi indagine successiva.
  3. Identificare l'ambito: Determinare se l'attacco ha preso di mira una singola persona o più account e se sono stati consultati o condivisi dati sensibili, come credenziali, dati finanziari o informazioni personali.
  4. Reimposta le credenziali compromesse: Se sono stati rilevati accessi non autorizzati a uno qualsiasi degli account, forzare il ripristino della password e revocare immediatamente le sessioni attive. Abilitare l'autenticazione a più fattori, se non è già attiva.

Segnalazione e notifica:

  • Segnala l'accaduto all'autorità competente del tuo paese in materia di crimini informatici. Negli Stati Uniti, si tratta dell'IC3 dell'FBI (ic3.gov).
  • Se sono coinvolti dati dei clienti, consulta il tuo team legale in merito agli obblighi di notifica della violazione dei dati previsti dalle normative applicabili in materia di protezione dei dati (GDPR, CCPA e altre, a seconda della giurisdizione).
  • Avvisa i partner o i fornitori interessati qualora le loro identità siano state utilizzate nell'attacco, poiché potrebbero trovarsi ad affrontare minacce simili.
  • Informa il tuo provider di posta elettronica e, se necessario, richiedi che il dominio che si spaccia per un altro venga segnalato per abuso.

Dopo la risposta immediata, condurre un'analisi post-incidente: come è riuscito l'attacco, quali controlli hanno fallito e quali modifiche sono necessarie per ridurre il rischio di recidiva. Pulizia email configurazioni dell'infrastruttura e della sicurezza nell'ambito di tale revisione.

Proteggi il tuo dominio prima che gli hacker lo utilizzino contro di te.

Un aspetto spesso trascurato della protezione contro l'usurpazione d'identità è la qualità e la sicurezza delle proprie pratiche di invio di email. Le organizzazioni con liste email gestite in modo inadeguato, database di contatti non verificati o infrastrutture di invio configurate in modo errato sono più vulnerabili, sia all'abuso del proprio dominio sia all'invio involontario di email che i provider di posta elettronica trattano con sospetto.

Verifica email DeBounce fa parte di una solida pratica di igiene email che supporta la tua strategia di sicurezza complessiva. Convalida gli indirizzi email senza inviare alcun messaggio, rimuovendo dagli elenchi gli indirizzi non validi, temporanei e ad alto rischio, in modo che il tuo dominio costruisca una reputazione di mittente coerente e affidabile. Un dominio con una solida reputazione è più difficile da impersonare in modo convincente e più facile da difendere in caso di segnalazione di abusi.

Elabora la tua lista email con DeBounce. per garantire che l'invio di email in uscita sia corretto, verificato e a vostro vantaggio.

Costruisci difese adeguate alla minaccia

Le truffe via email basate sull'impersonificazione hanno successo perché fanno leva sulla fiducia: la fiducia che i dipendenti ripongono in un nome familiare, la fiducia che i clienti ripongono in un marchio conosciuto, la fiducia che rende l'email uno strumento funzionale per il business. Gli aggressori non hanno bisogno di forzare i firewall quando possono semplicemente fingere di essere qualcuno di cui ti fidi già.

Le misure di difesa descritte in questa guida – autenticazione SPF, DKIM e DMARC, formazione del personale, strumenti di filtraggio della sicurezza e procedure di verifica interne – affrontano sia la dimensione tecnica che quella umana del problema. Nessuna di esse è sufficiente da sola, ma insieme rendono gli attacchi di impersonificazione significativamente più difficili da eseguire e più facili da individuare.

Iniziate dai vostri record di autenticazione. Se il vostro dominio non pubblica ancora una policy DMARC, questo è il passo tecnico più importante che potete compiere ora. Abbinatelo a una sessione di formazione per il personale e a una chiara procedura di verifica dei pagamenti, e avrete colmato le lacune sfruttate dalla maggior parte degli attacchi di impersonificazione andati a buon fine.

Domande frequenti

Risposte alle domande più frequenti su questo argomento.
01

È possibile che si verifichi un caso di impersonificazione via email senza violare un account?

Sì, e nella maggior parte dei casi è così. Gli attacchi di spoofing del nome visualizzato e di domini simili non richiedono l'accesso all'account reale; si limitano a imitarne l'aspetto utilizzando un indirizzo di invio diverso.

02

Quanto sono comuni gli attacchi di impersonificazione tramite e-mail?

Gli attacchi di impersonificazione via e-mail sono molto comuni e rimangono una delle forme più frequenti di criminalità informatica. Le organizzazioni di tutti i settori si trovano regolarmente ad affrontare tentativi come il phishing, la compromissione della posta elettronica aziendale e lo spoofing del dominio, poiché la posta elettronica è ampiamente utilizzata e facile da sfruttare per gli aggressori.

Ti potrebbe piacere anche

Trova risposte rapide alle tue domande sui nostri prezzi e piani.

Perché una lista e-mail pulita è importante?

La verifica dell'indirizzo email e la pulizia della mailing list offrono numerosi vantaggi. Gli utenti che utilizzano regolarmente un servizio di verifica o convalida dell'indirizzo email riscontrano...

   
DeBounce

Cos'è un Email Tracker? La guida completa per i marketer

Il tracciamento delle email aiuta i marketer a capire come i destinatari interagiscono con le campagne, ma la sua accuratezza dipende da come i dati vengono raccolti e interpretati. Il tracciamento delle email...

   
Mikkel Andreassen
Cos'è la trappola spam

Cos'è Spam Trap e come evitarlo

Le trappole antispam aiutano i provider di posta in arrivo e le organizzazioni antispam a identificare i mittenti che acquisiscono indirizzi email attraverso pratiche scorrette. Esistono tre principali tipi di trappole antispam:...

   
DeBounce

Guida completa alla lista nera dei domini

Ora più che mai, sempre più imprenditori stanno iniziando a considerare e utilizzare l'email marketing come un vero e proprio strumento per promuovere relazioni commerciali produttive con...

   
DeBounce

Come impostare i record DMARC (una guida completa)

Gestisci campagne email professionali o aziendali? Ti stai chiedendo come implementare i record DMARC per la convalida e la sicurezza delle email? Lo sapevi? Tu...

   
muschio clemente