Quali sono le minacce e-mail più comuni?

Vari studi effettuati hanno individuato 13 differenti minacce e-mail: Spam, Malware, Data Exfiltration, URL Phishing, Scamming, Spear Phishing, Domain Impersonation, Brand Impersonation, Extortion, Business Email Compromise, Conversation Hijacking, Lateral Phishing e Account Takeover.

A seguire vengono descritte le minacce più comuni tra quelle elencate. A chiusura dell'articolo vengono forniti alcuni suggerimenti utili per riconoscere e neutralizzare le minacce inviate via e-mail, così da evitare i possibili impatti (spesso rilevanti) che queste potrebbero avere sull'azienda attaccata.


Cosa si intende per Spam? 

Lo Spam è la minaccia più comune e semplice da individuare. Viene diffusa sotto forma di invii massivi, effettuati a milioni di utenti, con l'aspettativa che soltanto alcuni di questi rispondano ai messaggi inviati. Gli indirizzi dei destinatari vengono reperiti tramite varie fonti, tra le quali è presente anche la vendita diretta di account e-mail a chi compie questo genere di attività (denominato "spammer"). Le mail di spam vengono spesso utilizzate per distribuire malware ed effettuare attacchi di phishing su larga scala.


Esempio mail di spam


Come funziona l'invio di malware tramite e-mail?

Per Malware si intende del software malevolo inserito nel corpo o in allegato ad una e-mail. Il Malware è tipicamente nascosto all'interno di documenti, script o siti web malevoli richiamati tramite collegamento inserito all'interno del corpo della mail. 

Obiettivo dei Malware è sfruttare le vulnerabilità di vecchi sistemi non aggiornati o delle minacce nuove per le quali non esistono ancora soluzioni note (Zero-day). 

Classico esempio di Malware (forse il più noto) è il ransomware, in grado di crittografare i file aziendali richiedendo, per il loro sblocco, il pagamento di un riscatto (ransom).


Esempio mail contenente malware


Cosa si intende per Phishing?

Per Phishing si intende il tentativo di ottenere informazioni sensibili (username, password, dati bancari, ecc.) facendo credere all'utente finale che il mittente, soggetto od organizzazione, sia affidabile. Anche in questo caso parliamo di attacchi effettuati in maniera massiva, rivolti a milioni di utenti con l'intenzione che alcuni di questi, anche nell'ordine di poche migliaia, forniscano dati utili all'attaccante. 

Esistono tre tipologie di Phishing: 

  • URL Phishing. All'interno del corpo della mail è presente un collegamento che rimanda ad una pagina web che, all'apparenza, sembra essere legittima. Normalmente vengono replicati i form di inserimento credenziali (es: form di accesso Gmail, Microsoft 365, ecc.) o di inserimento dati sensibili (esempio: dati bancari). Si stima che il 32% di attacchi appartenga a questa tipologia e che in media il 4% degli utenti clicchi sul link ingannevole. 
  • Spear Phishing. In questo caso l'attacco è mirato e volto a far credere all'utente che il mittente sia effettivamente affidabile. Non di rado i messaggi di questo genere sono più curati e riportano un mittente, fittizio, che personifica un collega (spesso un superiore in linea gerarchica), facendo credere, dunque, si tratti di figura effettivamente affidabile. L'utilizzo di termini che invocano urgenza e priorità sono in grado di incrementare la pressione sul destinatario, innalzando le possibilità di successo dell'attacco. 
  • Lateral Phishing. L'attacco viene effettuato utilizzando degli account (compromessi) con i quali il destinatario, di recente, ha intrattenuto rapporti professionali. Trattandosi di collega, partner o altra entità affidabile, quindi, il destinatario difficilmente penserà ad un attacco e tenderà a fidarsi maggiormente. Questo genere di attacchi gode di un'elevata percentuale di successo. 


Esempio di URL Phishing



Esempio di Spear Phishing


Esempio di Lateral Phishing


Come proteggersi dalle minacce e-mail? 

I moderni Email Security Gateway, quali Libraesva ESG, sono in grado di bloccare a monte i messaggi malevoli e, pertanto, è caldamente consigliato l'utilizzo di tali sistemi. 

In assenza di un ESG, o nel caso (raro) in cui questo non sia stato in grado di bloccare una specifica e-mail, alcuni semplici accorgimenti possono permettere l'individuazione di contenuto malevolo: 

  • Verificare l'indirizzo mittente. Nel caso preso ad esempio per lo spam il mittente, indicato come "ATM ZENITH BANK", è in realtà "[email protected]" ed è facile notare come vi sia un'incongruenza tra i due elementi. Allo stesso tempo anche il dominio, nel caso specifico "@0oo.kr", è un indicatore di eventuale compromissione. Spesso, infatti, vengono utilizzati dei domini simili agli originali ma con alcune lievi differenze (es: "ndw.net" invece di "ndw.it"; tale pratica è definita Domain Impersonation e rientra tra le 13 minacce oggetto di analisi).
  • Verificare la presenza di eventuali errori grammaticali nel corpo della mail. Spesso il contenuto di queste e-mail è creato tramite traduttore e il linguaggio utilizzato, pertanto, risulta poco credibile. 
  • Valutare eventuali richieste poco affidabili. La richiesta, ricevuta da parte di uno sconosciuto, di aprire un link, un allegato o di inserire delle credenziali su un sito web richiamato da un collegamento deve rappresentare un campanello d'allarme. Prima di eseguire qualunque azione è bene avvisare il proprio reparto IT interno affinché questo possa effettuare le verifiche del caso prima che una minaccia si verifichi (un controllo in più, anche in caso di falso positivo, è preferibile alle attività, lunghe e impattanti, che si rendono necessarie dopo aver subito un attacco informatico).
  • Evitare l'apertura di file Office, PDF o eseguibili di ogni genere inviati da mittenti non conosciuti. Questi file potrebbero contenere al loro interno degli eseguibili in grado di infettare il client allo scopo di diffondere il malware (metodo spesso utilizzato per la diffusione dei ransomware, già citati in precedenza). Nel caso in cui vi fosse il dubbio che il file possa essere in realtà legittimo si consiglia, prima dell'apertura, l'esecuzione di specifica scansione tramite software anti-ransomware (normalmente installato sul client in aggiunta al più tradizionale anti-virus). Tale software è in grado di analizzare il file a fondo, segnalando e neutralizzando eventuale contenuto malevolo. 
  • Verificare la legittimità del sito aperto tramite collegamento contenuto nella mail. Per individuare un sito non legittimo è sufficiente analizzare l'indirizzo (URL) dello stesso in quanto, come nel caso dell'indirizzo mittente, anche per i siti illegittimi vengono di norma utilizzati domini simili ma non identici a quelli reali (come sopra, "ndw.net" invece di "ndw.it" deve rappresentare un campanello d'allarme). Non basare l'analisi sulle componenti grafiche del sito in quanto, nel caso di attacchi ben orchestrati, questi potrebbero essere del tutto identiche a quelle contenute nel sito originale. Sistemi quali Libraesva ESG dispongono di un motore di analisi dei siti web in modalità sandbox (ambiente di analisi protetto) e sono in grado di compiere le suddette operazioni, in maniera sicura, al posto dell'utente, riducendo sensibilmente le probabilità di infezione.