Fondamenti di Cybersecurity per le PMI (6/12): proteggi le email aziendali dalle truffe

Matteo Brandi : 22 Ottobre 2024 07:15

Nel mondo della sicurezza informatica, c’è un nemico subdolo che sta colpendo sempre più piccole e medie imprese: le email aziendali false. Immagina un truffatore che riesce a rubare o creare ad hoc un indirizzo email aziendale apparentemente legittimo. La vittima? Qualcuno con una posizione di responsabilità nella tua PMI. Le conseguenze? Potenzialmente devastanti.Ma come proteggi le email aziendali dalle truffe ?

I criminali informatici sfruttano queste email per ingannare clienti e fornitori. Bastano poche mosse per far cadere qualcuno in una trappola e far trasferire denaro o condividere informazioni riservate. La risposta è più semplice di quanto pensi: certificare ogni email aziendale ed istruire il personale a riconoscere le minacce.

Come funziona la truffa delle email aziendali false

Purtroppo è la realtà per molte PMI. I criminali informatici sfruttano email apparentemente legittime per ingannare le vittime. Queste email possono essere rubate attraverso phishing o create con domini simili a quelli aziendali. Come fanno a creare il tuo dominio aziendale se non ne possono esisterne due uguali??

Esistono due tecniche principali:

1. Typosquatting: cambiare una sola lettera nel dominio.
2. Omografismi: sostituire una lettera del dominio con un’altra molto simile all’originale graficamente, ma appartenente ad un altro alfabeto, rendendo molto difficile notare la differenza.

Un’email che sembra provenire dal CEO o da un fornitore fidato potrebbe chiederti di pagare una fattura urgente o di trasferire fondi verso un nuovo conto bancario. È un attacco astuto, costruito per sembrare ordinario, per non sollevare sospetti. E funziona, perché nessuno si aspetta di essere ingannato da un’email che arriva proprio da dentro l’azienda.Specialmente se c’è urgenza.

La buona notizia? Ci sono strumenti che ti permettono di proteggerti. Puoi far capire ai destinatari che lo scrivente sei proprio tu e non è un tentativo di phishing. Vediamo come.

Soluzione n.1: fai capire ai destinatari che le tue mail sono affidabili

Proteggi le email aziendali dalle truffe certificando il server di invio della posta elettronica, fa capire ai destinatari che l’invio è legittimo e non è così complicato. Bisogna intervenire sul pannello di gestione del dominio e quello della posta usando SPF, DKIM e DMARC. Questo trittico garantisce in maniera robusta che:

1. SPF (Sender Policy Framework): il server che invia le email a nome del dominio della tua azienda è autorizzato al farlo
2. DKIM (DomainKeys Identified Mail): conferma che non sono stati fatti cambiamenti nel contenuto o nelle informazioni del mittente mentre il messaggio era in transito grazie alla firma del server
3. DMARC (Domain-based Message Authentication, Reporting and Conformance): contrasta le mail contraffatte avvisando i destinatari di queste attività fraudolente

Inserendo questi “elementi” nelle tue email, metterai un insegna luminosa per i filtri Spam che dice “Sono io, l’unico e originale!”, garantendo che la tua email arrivi a destinazione e non finisca nello spam. Tutto gratuito. Come fare? C’è un bellissimo articolo molto chiaro di Manuel Roccon Qui su Red Hot Cyber. Questo ti proteggerà da chi vuole impersonare la tua azienda con l’uso di domini simili, ma non se ti rubano le credenziali della tua posta elettronica.

Soluzione n.2: certifica ogni account email con le chiavi pubblica e privata

Proteggi le email aziendali dalle truffe certificando l’identità di ogni singolo account email aziendale, specialmente il CEO, creando una firma digitale con una coppia di chiavi pubblica e privata per ciascun account. Delle chiavi pubbliche e private ne ho scritto in questo articolo Qui su Red Hot Cyber.

Ogni email inviata dal legittimo proprietario sarà firmata. Quella che non presenta la firma, sarà automaticamente fraudolenta. Questa tecnica consente anche di raggiungere anche un ulteriore obiettivo: cifrare le email. Quando le email “viaggiano” nel “cyber spazio”, sono cifrate, rendendo inutile l’intercettazione ma, a meno che il gestore di posta specifichi il contrario, sono conservate in chiaro. Un attacco al tuo gestore di posta elettronica, comprometterebbe le tue informazioni. Cifrarle significa sia integrità che riservatezza (due dei tre elementi della celeberrima triade CIA).

Quando si mandano via email informazioni molto sensibili, cifrarle è una buona pratica (ne parla anche la NI2). Come fare? Due possibilità:

1. acquistare certificati S/MIME (quindi a pagamento)
2. implementare una coppia di chiavi pubblica e privata (con un minimo “sbatti” ma gratuito)

Sul primo modo…ci sono molti fornitori e ciascuno ha le istruzioni per renderli operativi dopo l’acquisto.

Sul secondo, i software client di posta Open Source come Thunderbird, offrono queste funzionalità con qualche passaggio. Grazie a questa coppia di chiavi, che saranno sotto la responsabilità di ogni singolo utente, ogni account email potrà sia firmare che cifrare il contenuto delle email inviate. Per rendere funzionale questa tecnica però c’è bisogno di un paio di “sbatti” in più. Con queste chiavi serve un minimo di collaborazione: il destinatario deve salvare la tua chiave pubblica nel proprio client di posta prima di poter rendere operativa questa modalità. Il mittente da parte sua può mettere in allegato fisso alla sua email la chiave pubblica (pesa pochissimi Kbytes) mentre il destinatario…questo piccolo sforzo per un Mondo più sicuro lo deve fare. Tu invece devi mettere le chiavi in tutti i dispositivi che usi per inviare la posta.

Le tua chiavi rimangono sul tuo PC e a meno di un furto direttamente da questo, se un criminale accedesse alla tua posta dal web, non potrebbe firmare a nome tuo. Non sto a scrivere che la chiave privata deve essere ben custodita…se persa o compromessa la coppia può essere revocata, ma deve essere comunicato a tutti quelli che hanno la tua chiave pubblica. Altro “sbatti”.

Ma il DKIM non fa la stessa cosa?? Il DKIM consente al server di posta di firmare le email con la sua coppia di chiavi, non c’è distinzione per ogni singolo account di email e non consente di cifrare il contenuto.

Soluzione n.3: usa la PEC

Lo so , lo so, quando qualcuno vede arrivare una PEC…aiuto!! Considerato poi che non viene così controllata…la PEC però, oltre ad essere una raccomandata digitale, ha tutte le garanzie di identità del mittente e del contenuto. Quindi è una possibilità di invio di email più sicure, magari per argomenti importanti. Ovviamente non dovresti usare quella che hai dato alla Camera di Commercio…

Soluzione n.4: Proteggi le email aziendali dalle truffe formando il personale

Le persone sono l’ultimo baluardo di difesa…se correttamente formate! Insegnarli a scoprire il vero indirizzo di spedizione della email, a scoprire i typosquatting e gli omografismi può realmente fare la differenza. Considerare il tempo impiegato dal tuo personale in orario di lavoro per la formazione nella sicurezza come tempo perso, è un grave errore.

Soluzione n.5: tieni fuori gli sconosciuti con password uniche e MFA

Proteggi le email aziendali dalle truffe tenendo fuori gli sconosciuti! La fuori ci sono in vendita milioni di credenziali di posta elettronica ed il tuo non ci deve essere! Come fare:

1. Utilizza password uniche: non affidare una password di elemento così importante al primo e-commerce che passa
2. Utilizza una autenticazione a più fattori (MFA): è veramente noiosa per le email, ma potrebbe essere l’unico elemento tra la tua posta elettronica ed i criminali (ma ricordati di fare il backup del sistema MFA perchè se si rompe lo smartphone poi rimani chiuso fuori)

Conclusione

La sicurezza delle email aziendali è un problema serio, ma con un po’ di attenzione e gli strumenti giusti, puoi proteggere la tua PMI dai criminali informatici. Abbiamo visto una soluzione più costosa, l’uso della PEC (ne dovresti avere una per ogni account email aziendale), una gratuita ma un pò “tricky” : implementare SPF, DKIM e DMARC e l’ultima che ha sia una versione gratuita che a pagamento ma che richiede una minima collaborazione dei riceventi: utilizzare una coppia di chiavi pubblica e privata per firmare e volendo cifrare la posta elettronica. Per tenere poi fuori intrusi dalla tua posta ed evitare che ne inviino a nome tuo, password uniche e autenticazione a più fattori. Sei pronto a prevenire la prossima truffa?

Vuoi saperne di più?

Dai un’occhiata ai precedenti articoli della nostra rubrica, Fondamenti di Cybersecurity per le PMI:

• Ritorno alle Basi: Scopri i concetti fondamentali per proteggere la tua impresa dai rischi informatici.
• NIST Cybersecurity Framework: Un approfondimento sui principi di sicurezza secondo il National Institute of Standards and Technology.
• La Sicurezza Fisica: Il Primo Scudo contro gli Attacchi Informatici: Perché la protezione dei tuoi dati inizia con la sicurezza fisica dell’ambiente aziendale.
• Attacco Ransomware: La Minaccia che Può Bloccare la Tua PMI: Come difendersi da uno dei più temuti attacchi informatici degli ultimi tempi.
• PHISHING, L’Arte di Non Cadere Nella Rete…: Milioni di email di vengono recapitate ogni giorno, impara a riconoscerle.

Matteo Brandi
Imprenditore Digitale, Cyber Security Enthusiast. Certificato TCM Security Pratical Network Penetration Tester e CompTIA Security+. Con la sua attività aiuta Aziende e PMI del nostro paese a difendersi dalle minacce informatiche. Membro del Gruppo Hackerhood di Red Hot Cyber.

Lista degli articoli