spoofing-sicurezza

Attacchi Spoofing: come proteggersi

Indice dei contenuti

Più di 260 milioni di email contraffatte inviate ogni giorno e applicazioni mobile vulnerabili ad attacchi di tipo man-in-the-middle.

 
Attacchi Spoofing cosa sono e come proteggersi[Aggiornamento articolo Aprile 2017] Forse hai sentito parlare di attacchi di tipo spoofing, ma non sai con esattezza cosa sono o come possano mettere la tua attività a rischio. Lo spoofing è in realtà piuttosto semplice da capire. E’ una tecnica adottata da un hacker per impersonare un dispositivo o un utente.

I motivi che si celano dietro questo tipo di attività sono diversi. Alcuni cercano di causare disservizi ad una porzione di rete o di inibire la visibilità di un sito web sferrando un Denial-of-Service e falsificando la sorgente dell’attacco. Altri cercano di rubare dati sensibili, come i codici di accesso a servizi di online banking, commettere il furto di identità o altre tipologie di reati. Altri ancora attaccano solo per hobby, come ultima risorsa dopo avere tentato invano di accedere illegalmente in un sistema o per dimostrare le loro capacità.

Tra le principali tipologie di attacchi spoofing troviamo:

  • IP spoofing: quando a essere falsificato è l’indirizzo IP (solitamente quello sorgente) del traffico di rete. Alcuni protocolli, come il TCP, prevedono dei meccanismi di sicurezza. Purtroppo però, queste protezioni potrebbero non essere totalmente efficaci. Oggigiorno infatti, utilizzando una difesa basata sui “numeri di sequenza”, risulta quasi impossibile riuscire a stabilire una connessione TCP falsificando l’IP sorgente, ma è comunque fattibile generare un disservizio agendo sulle prime fasi di comunicazione tra due entità remote. Parliamo ad esempio dei famosi “SynFlood”, utilizzati per oscurare siti web con attacchi di tipo dDoS. L’IP spoofing può essere ancora più pericoloso quando si utilizzano protocolli “connection-less”, come nel caso di UDP ed ICMP, sempre più spesso utilizzati per “attacchi con amplificazione”; a tal riguardo, le moderne tecniche di configurazione, come quelle adottate in tutti i nostri prodotti, dai Cloud Server fino ad arrivare all’hosting condiviso, permettono di filtrare il traffico in uscita con IP falsificato.
  • DNS spoofing: quando lo spoofing coinvolge il servizio di risoluzione dei nomi a dominio. Generalmente impiegato per direzionare il traffico verso un sito web contraffatto, in tutto e per tutto uguale all’originale, ma gestito dall’hacker che ha modo di catturare i dati sensibili (come username e password) inseriti dall’utente.
  • ARP spoofing: è la principale tecnica di attacco alle LAN/WAN tra macchine che condividono la stessa rete/sottorete. Consiste sostanzialmente nel modificare il gateway del “bersaglio” inviandogli una serie di richieste chiamate ARP-Reply, al fine di dirottare il traffico di rete per poter leggere o modificare il contenuto prima che raggiunga la reale destinazione. Questa tecnica, abbinata ad uno sniffer, permette di catturare password, leggere il contenuto di messaggi di posta o altri dati sensibili. Come per l’IP spoofing, tutti i nostri servizi sono immuni a questo tipo di attacco, in quanto ogni macchina è configurata su una VLAN distinta ed ogni server può inviare pacchetti impostando come sorgente solamente il proprio MAC address.

 
Un altro tipo di attacco di spoofing molto diffuso e anche più semplice da effettuare, è l’email spoofing. In questo caso, solitamente il mittente del messaggio è conosciuto dal destinatario, poichè lo scopo dell’attacker è quello di indurre l’utente ad aprire la mail e a cliccare sul contenuto.

Queste email vengono spedite da server compromessi, spesso situati in paesi esteri e utilizzati dagli spammer in maniera fraudolenta. E’ molto semplice riuscire ad effettuare questo tipo di attacco in quanto alcuni protocolli di base non hanno alcun meccanismo di autenticazione.

Se il vostro dominio è vittima di phishing è utile implementare il protocollo SPF (Sender Policy Framework) e le chiavi DKIM, integrando il tutto con il sistema di validazione DMARC.

Come identificare una mail spoofing?

  1. Se nella mail è presente un link, prima di cliccare e finire sul sito, controllate con il cursore la reale destinazione del link: in caso di email spoofing solitamente il link visibile nella mail e quello di destinazione reale sono differenti.
  2. Se l’oggetto della mail riguarda siti come l’online banking, si consiglia sempre di controllare se il sito abbia installato i certificati SSL e che l’indirizzo sia “https” e non “http”. Per essere sicuri che non si tratti di una mail fraudolenta consigliamo di visitare il vero sito web e di confrontare i due indirizzi.
  3. Se l’email proviene da un ente pubblico che richiede dati sensibili, prima di fare affidamento al contenuto del testo, sarebbe opportuno contattarli telefonicamente.
  4. Il più delle volte le email spoofing vengono inviate utilizzando account email gratuiti come Yahoo, Libero, Virgilio e il mittente è spesso un nome sconosciuto.
  5. Gli argomenti più utilizzati per inviare questo genere di email riguardano calamità naturali e beneficenza.
  6. Occorre sempre controllare che l’email non abbia file allegati, se non si conosce direttamente il mittente si consiglia di non aprirli o scaricarli.
  7. Se il mittente è un amico o una persona con la quale si ha un rapporto diretto, informarsi sul reale invio della mail ed eventualmente avvisarlo di essere vittima di un attacco.

 
Lo spam ed il phishing continuano a essere un problema per le aziende di tutto il mondo e per tutti i loro contatti di posta elettronica. Gli account compromessi non rappresentano solo una minaccia per la sicurezza della vostra azienda IT ma anche per l’immagine del brand.

Come Seeweb offriamo degli strumenti in grado di rilevare tali attività, intervenendo in maniera proattiva e bloccando la diffusione di questo tipo di attacchi.

 

CONDIVIDI SUI SOCIAL

Una risposta

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

46 − 45 =