Lo spoofing è una tipologia di cyber attack subdolo, studiato per ingannare i destinatari di comunicazioni digitali e manipolarli per ottenere informazioni o infiltrarsi nei sistemi.
Organizzarsi per difendersi o, nella peggiore delle ipotesi, porre rimedio a questa tecnica è dunque molto importante per non rischiare che la perdita di informazioni o il coinvolgimento di altre persone continui.
Con spoofing si intende un attacco informatico che può usare molteplici modalità per la falsificazione dell’identità (spoof) di un soggetto di cui solitamente ci si fida.
Tale attacco si basa, infatti, sull’imitazione di informazioni vere (indirizzi mail, numeri di telefono, web site eccetera) per apparire autentici e rendersi credibili e ottenere accessi autorizzati alla infrastruttura dalla vittima che è in buona fede.
Se lo spoofing va a buon fine non solo si subiscono danni immediati (a partire dalla sottrazione dei dati) ma ci si espone con maggior facilità ad altri pericoli quali il phishing. Il phishing si basa, infatti, proprio sullo spoofing ovvero sulle informazioni che da esso si traggono per poi convincere le vittime a fornire ulteriori dati.
Lo spoofing offre, in generale, più agevole porta di ingresso per i malware.
Gli attacchi di spoofing possono assumere molteplici forme, a seconda dello strumento utilizzato per perpetrarli. Conoscere quali sono le minacce informatiche è fondamentale, da un lato per sapere a cosa si può andare incontro e, dall’altro, per implementare gli approcci e le strategie di sicurezza più efficaci per porre al riparo device e infrastrutture.
Consiste nell’inviare messaggi di testo che paiono arrivare da fonti affidabili (la banca, l’azienda stessa in cui si lavora eccetera). Negli SMS possono essere inviati link dannosi, richieste di dati eccetera. Questo è possibile sfruttando la vulnerabilità delle reti di telecomunicazioni che consente di manipolare il campo del mittente nei messaggi SMS e mutare il numero di telefono.
In questo caso viene falsificato l’indirizzo di posta elettronica ed è più facile usare tale mezzo per distribuire malware, veicolare campagne di phishing o controllare/manipolare le comunicazioni che girano nell’organizzazione attaccata. Per preparare mail che sembrano arrivare da fonti legittime si usano le vulnerabilità nei protocolli di autenticazione delle mail.
Questo deriva dalla contraffazione dell’indirizzo IP per farlo apparire come proveniente da un host diverso. Si tratta di una tecnica realizzata per eludere firewall e filtri di accesso e dare il via ad attacchi DDoS (Distributed Denial of Service, ossia i tentativi di rendere un sistema o un servizio inutilizzabile perché sovraccaricato da grandi quantità di traffico). Per ostacolare questa minaccia è utile configurare al meglio le regole di rete e autenticare i protocolli di quest’ultima.
Avviene quando si realizza un sito web che imita uno legittimo in cui gli utenti devono inserire le loro credenziali (i dati personali, le password aziendali o della banca…). Spesso i criminali registrano, infatti, domini simili a quelli delle realtà a cui sono interessate e poi sfruttano tecniche di ingegneria sociale per attirare le vittime. In questo caso è basilare istruire sull’importanza di verificare le URL.
È noto anche come avvelenamento della cache DNS - Domain Name System (il sistema che traduce i nomi di dominio in indirizzi IP) perché mirano a reindirizzare gli utenti verso siti Web malevoli. A questo punto, analogamente al website spoofing, i cyber attaccanti avranno la possibilità di ottenere informazioni. Vi sono estensioni delle tecnologie di sicurezza del DNS denominate DNSSEC (Domain Name System Security Extensions) progettate per autenticare le risposte alle query DNS e proteggere contro le manomissioni.
Infine, si fa riferimento alla alterazione dei messaggi ARP (Address Resolution Protocol) per associare l’indirizzo di un attaccante a un IP legittimo. Questo serve per intercettare, modificare o fermare il traffico di rete e quello esistente tra i dispositivi a essa collegati. Esistono switch di rete appositamente dotati di funzioni di protezione ARP.
Gli hacker che si cimentano nello spoofing hanno a disposizione spoofer (programmi) e metodi che consentono loro di sfruttare le possibili falle di sicurezza nei protocolli di comunicazione e superare le misure di security avere accessi non autorizzati. In particolare, si tratta di:
In breve, i meccanismi procedurali usati sono:
È imprescindibile sottolineare che questi attacchi si basano su una combinazione di più fattori, da un lato lacune tecnologiche e, dall’altro, scarsa conoscenza della problematica. Sicuramente è rilevante ricordare che la posta elettronica non è uno strumento sicuro su cui basare il business, soprattutto, se si verificano le seguenti condizioni.
Come risolvere lo spoofing? Per proteggersi da questo tipo di attacchi, le aziende devono adottare misure di sicurezza ad hoc, pensate per ogni possibile attacco, oltre a considerare, in generale, la crittografia per proteggere le comunicazioni e a definire piani di training specifici per il personale affinché riconosca i tentativi di ingegneria sociale.
Bloccare gli accessi non autorizzati e monitorare costantemente le reti per rilevare attività sospette sono passi decisivi per mitigare il rischio di attacchi di spoofing. Ma procediamo con ordine: difendersi dallo spoofing richiede un approccio composito.
In questo caso le aziende possono implementare soluzioni 2FA (autenticazione a 2 fattori per non basarsi solo sugli SMS. Inoltre, la messaggistica crittografata end-to-end aiuta a fermare intercettazioni. Sarebbe poi utile che le organizzazioni che usano comunicare via SMS utilizzino alias registrati ufficialmente per identificarsi e non numeri generici, di contro, gli operatori di telecomunicazioni possono procedere alla predisposizione di filtri per messaggi sospetti.
Adottare protocolli di autenticazione quali SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), e DMARC (Domain-based Message Authentication, Reporting & Conformance) aiuta a ostacolare l’ingresso di mail false accanto all’implementazione di funzioni anti-phishing e anti- spam.
È molto utile implementare filtri di pacchetti sui router e sui firewall per verificare l’autenticità degli indirizzi IP. Anche l’uso di VPN, reti private virtuali, serve ad aggiungere ulteriori livelli di protezione. Come già accennato DNSSEC è essenziale per assicurare l'integrità delle risposte DNS, oltre al monitoraggio costante delle attività di rete.
Esistono applicazioni e servizi che autenticano l’ID del chiamante, segnalano telefonate sospette o, addirittura, le bloccano. D’altro canto, gli utenti dovrebbero sempre verificare i numeri prima di rispondere…
Le soluzioni offerte da un partner tecnologico esperto come DigitelNET tutelano le organizzazioni mettendole al sicuro rispetto ai rischi di attacchi spoofing. L’azienda è, infatti, in grado di fornire tutti gli strumenti a cui si è fatto riferimento per garantire protezione completa e su più livelli.
La suite completa di prodotti per la cybersecurity include da Barracuda e-mail threat scanner a servizi di secure mail per proteggere le comunicazioni aziendali. D’altra parte, LibraESVA si focalizza sull’analisi avanzata del comportamento degli utenti per identificare possibili distrazioni o anomalie che possono determinare pericoli.