Come proteggere l'email dagli attacchi di phishing

Cos'è il phishing?

Il phishing è una forma di attacco informatico in cui l'aggressore cerca di indurre la vittima a rivelare informazioni sensibili come password, numeri di carta di credito o dati personali. L'aggressore si finge un'organizzazione o una persona di fiducia tramite email, SMS o una pagina web falsa.

Secondo i report, il phishing è responsabile di oltre il 90% di tutti gli attacchi informatici. In Italia, sono particolarmente diffusi gli attacchi che impersonano banche, l'Agenzia delle Entrate, i corrieri e i servizi online più popolari. Ogni azienda, indipendentemente dalle dimensioni, può essere bersaglio di phishing. Un account email aziendale professionale con un'autenticazione corretta è la prima linea di difesa.

Tipi di attacchi di phishing

Email phishing

La forma più comune di phishing. L'aggressore invia email di massa che sembrano provenire da un'organizzazione legittima. L'email contiene di solito un link a una pagina web falsa identica a quella reale, oppure un allegato infetto.

Spear phishing

Un attacco mirato a una persona o organizzazione specifica. L'aggressore studia la vittima attraverso i social network e i dati pubblici, poi confeziona un'email personalizzata che appare molto convincente. È molto più pericoloso del phishing di massa perché è più difficile da individuare.

Whaling

Una variante dello spear phishing che prende di mira dirigenti di alto livello (CEO, CFO, direttori). Le email spesso imitano documenti legali, dichiarazioni fiscali o richieste urgenti di trasferimento di denaro.

Business Email Compromise (BEC)

L'aggressore compromette o impersona l'email di un dipendente (di solito un dirigente) e invia ad altri dipendenti richieste di trasferimento di denaro o di dati sensibili. Gli attacchi BEC sono estremamente redditizi per gli aggressori - il danno medio supera i 100.000 $ per attacco.

Smishing e Vishing

Lo smishing usa i messaggi SMS e il vishing le telefonate per ingannare la vittima. In Italia sono frequenti gli SMS che impersonano i corrieri e chiedono il pagamento di "costi di consegna aggiuntivi".

Come riconoscere un'email di phishing

Diversi segnali indicano che un'email potrebbe essere un tentativo di phishing. Presta attenzione ai seguenti elementi prima di cliccare su qualsiasi link o aprire un allegato.

• Indirizzo del mittente sospetto: Controlla l'indirizzo email esatto, non solo il nome del mittente. Gli aggressori usano indirizzi come "support@banca-italia.com" al posto del vero dominio della banca.
• Urgenza e minacce: "Il tuo account verrà bloccato entro 24 ore" o "Conferma urgentemente i tuoi dati" sono classiche tattiche di phishing.
• Errori grammaticali: Le organizzazioni professionali hanno dei redattori. Numerosi errori grammaticali e formulazioni strane sono campanelli d'allarme.
• Saluto generico: "Gentile cliente" invece del tuo nome - le organizzazioni legittime di solito ti chiamano per nome.
• Link sospetti: Passa il mouse sul link (senza cliccare!) per vedere l'URL reale. Se è diverso da quello che ti aspetti, non cliccare.
• Allegati inattesi: Non aprire mai allegati che non ti aspettavi, soprattutto file .exe, .zip o .doc con macro.
• Richiesta di dati sensibili: Nessuna organizzazione legittima ti chiederà password, PIN o numero di carta via email.

Protezione tecnica: SPF, DKIM e DMARC

SPF, DKIM e DMARC sono tre protocolli complementari che insieme offrono una protezione efficace contro lo spoofing delle email - la tecnica con cui gli aggressori inviano email con un indirizzo mittente falso.

SPF (Sender Policy Framework)

SPF consente al proprietario del dominio di definire quali server sono autorizzati a inviare email per conto di quel dominio. Il server ricevente controlla il record SPF nel DNS e rifiuta le email provenienti da server non autorizzati.

Un record SPF nel DNS si presenta così: v=spf1 include:_spf.google.com include:mail.beohosting.com -all. Questo record indica che solo i mail server di Google e di BeoHosting sono autorizzati a inviare email dal tuo dominio. Il tag "-all" alla fine significa che tutti gli altri devono essere rifiutati.

DKIM (DomainKeys Identified Mail)

DKIM aggiunge una firma digitale a ogni email che invii. Il server ricevente usa la chiave pubblica pubblicata nel DNS per verificare che l'email non sia stata modificata durante il transito e che provenga davvero dal tuo dominio.

DKIM usa la crittografia asimmetrica - una chiave privata sul tuo mail server firma ogni email e la chiave pubblica nel DNS consente la verifica. Senza una firma valida, l'email verrà contrassegnata come sospetta.

DMARC (Domain-based Message Authentication, Reporting, and Conformance)

DMARC è un'evoluzione di SPF e DKIM che indica al server ricevente cosa fare con le email che non superano i controlli SPF/DKIM. DMARC fornisce inoltre report sui tentativi di abuso del tuo dominio.

• p=none: Solo monitoraggio - non incide sulla consegna, ma invia i report. Usalo all'inizio per capire cosa sta succedendo.
• p=quarantine: Le email che non superano i controlli finiscono nella cartella spam. Il livello consigliato per la maggior parte dei siti.
• p=reject: Le email che non superano i controlli vengono rifiutate del tutto. L'impostazione più rigida per la massima protezione.

Il consiglio è di iniziare con p=none, monitorare i report per un mese, poi passare a p=quarantine e infine a p=reject. In questo modo non bloccherai accidentalmente email legittime.

Formazione dei dipendenti

La protezione tecnica è solo una faccia della medaglia. Il fattore umano resta l'anello più debole della catena della sicurezza. La formazione regolare dei dipendenti è fondamentale per la protezione dal phishing.

Elementi di un programma di formazione

• Test di phishing simulati: Invia periodicamente email di phishing di prova ai dipendenti e monitora chi clicca. Strumenti come KnowBe4 o Gophish automatizzano questo processo.
• Workshop regolari: Workshop trimestrali con esempi di attacchi di phishing attuali. Mostra esempi reali di attacchi che colpiscono il tuo settore.
• Procedure chiare: Definisci la procedura per segnalare le email sospette. I dipendenti devono sapere a chi rivolgersi e cosa fare.
• Autenticazione a due fattori: 2FA obbligatoria per tutti gli account aziendali. Anche se un aggressore ottiene la password, non potrà accedere all'account senza il secondo fattore.
• Password manager: Usa password manager come Bitwarden o 1Password per password uniche e robuste per ogni account.

Cosa fare se sei vittima di phishing

• Cambia subito le password: Per l'account compromesso e per tutti gli altri account in cui usi la stessa password.
• Avvisa il team IT: Segnala immediatamente l'incidente - il tempo è cruciale per limitare i danni.
• Controlla le transazioni bancarie: Se hai inserito dati finanziari, contatta la banca e blocca la carta.
• Esegui una scansione del computer: Avvia una scansione antivirus completa se hai aperto un allegato sospetto.
• Documenta l'incidente: Conserva l'email di phishing, gli screenshot e tutti i dettagli rilevanti per le indagini successive.
• Segnala l'attacco: Segnala il tentativo di phishing al CERT-AGID (cert-agid.gov.it) o alla Polizia Postale e al provider di hosting del sito falso.

Conclusione

Gli attacchi di phishing diventano sempre più sofisticati e difficili da riconoscere. La combinazione di protezione tecnica (SPF, DKIM, DMARC), formazione dei dipendenti e procedure chiare è l'unico approccio efficace. Configura SPF, DKIM e DMARC per il tuo dominio tramite la configurazione dei record DNS, forma i dipendenti a riconoscere le email sospette e costruisci una cultura della sicurezza in cui tutti siano responsabili della protezione dell'azienda dalle minacce informatiche.