Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Fondamenti di Cybersecurity per le PMI (6/12): proteggi le email aziendali dalle truffe

Matteo Brandi : 22 Ottobre 2024 07:15

Nel mondo della sicurezza informatica, c’è un nemico subdolo che sta colpendo sempre più piccole e medie imprese: le email aziendali false. Immagina un truffatore che riesce a rubare o creare ad hoc un indirizzo email aziendale apparentemente legittimo. La vittima? Qualcuno con una posizione di responsabilità nella tua PMI. Le conseguenze? Potenzialmente devastanti.Ma come proteggi le email aziendali dalle truffe ?

I criminali informatici sfruttano queste email per ingannare clienti e fornitori. Bastano poche mosse per far cadere qualcuno in una trappola e far trasferire denaro o condividere informazioni riservate. La risposta è più semplice di quanto pensi: certificare ogni email aziendale ed istruire il personale a riconoscere le minacce.

Come funziona la truffa delle email aziendali false

Purtroppo è la realtà per molte PMI. I criminali informatici sfruttano email apparentemente legittime per ingannare le vittime. Queste email possono essere rubate attraverso phishing o create con domini simili a quelli aziendali. Come fanno a creare il tuo dominio aziendale se non ne possono esisterne due uguali??


Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    Esistono due tecniche principali:

    1. Typosquatting: cambiare una sola lettera nel dominio.
    2. Omografismi: sostituire una lettera del dominio con un’altra molto simile all’originale graficamente, ma appartenente ad un altro alfabeto, rendendo molto difficile notare la differenza.

    Un’email che sembra provenire dal CEO o da un fornitore fidato potrebbe chiederti di pagare una fattura urgente o di trasferire fondi verso un nuovo conto bancario. È un attacco astuto, costruito per sembrare ordinario, per non sollevare sospetti. E funziona, perché nessuno si aspetta di essere ingannato da un’email che arriva proprio da dentro l’azienda.Specialmente se c’è urgenza.

    La buona notizia? Ci sono strumenti che ti permettono di proteggerti. Puoi far capire ai destinatari che lo scrivente sei proprio tu e non è un tentativo di phishing. Vediamo come.

    Soluzione n.1: fai capire ai destinatari che le tue mail sono affidabili

    Proteggi le email aziendali dalle truffe certificando il server di invio della posta elettronica, fa capire ai destinatari che l’invio è legittimo e non è così complicato. Bisogna intervenire sul pannello di gestione del dominio e quello della posta usando SPF, DKIM e DMARC. Questo trittico garantisce in maniera robusta che:

    1. SPF (Sender Policy Framework): il server che invia le email a nome del dominio della tua azienda è autorizzato al farlo
    2. DKIM (DomainKeys Identified Mail): conferma che non sono stati fatti cambiamenti nel contenuto o nelle informazioni del mittente mentre il messaggio era in transito grazie alla firma del server
    3. DMARC (Domain-based Message Authentication, Reporting and Conformance): contrasta le mail contraffatte avvisando i destinatari di queste attività fraudolente

    Inserendo questi “elementi” nelle tue email, metterai un insegna luminosa per i filtri Spam che dice “Sono io, l’unico e originale!”, garantendo che la tua email arrivi a destinazione e non finisca nello spam. Tutto gratuito. Come fare? C’è un bellissimo articolo molto chiaro di Manuel Roccon Qui su Red Hot Cyber. Questo ti proteggerà da chi vuole impersonare la tua azienda con l’uso di domini simili, ma non se ti rubano le credenziali della tua posta elettronica.

    Soluzione n.2: certifica ogni account email con le chiavi pubblica e privata

    Proteggi le email aziendali dalle truffe certificando l’identità di ogni singolo account email aziendale, specialmente il CEO, creando una firma digitale con una coppia di chiavi pubblica e privata per ciascun account. Delle chiavi pubbliche e private ne ho scritto in questo articolo Qui su Red Hot Cyber.

    Ogni email inviata dal legittimo proprietario sarà firmata. Quella che non presenta la firma, sarà automaticamente fraudolenta. Questa tecnica consente anche di raggiungere anche un ulteriore obiettivo: cifrare le email. Quando le email “viaggiano” nel “cyber spazio”, sono cifrate, rendendo inutile l’intercettazione ma, a meno che il gestore di posta specifichi il contrario, sono conservate in chiaro. Un attacco al tuo gestore di posta elettronica, comprometterebbe le tue informazioni. Cifrarle significa sia integrità che riservatezza (due dei tre elementi della celeberrima triade CIA).

    Quando si mandano via email informazioni molto sensibili, cifrarle è una buona pratica (ne parla anche la NI2). Come fare? Due possibilità:

    1. acquistare certificati S/MIME (quindi a pagamento)
    2. implementare una coppia di chiavi pubblica e privata (con un minimo “sbatti” ma gratuito)

    Sul primo modo…ci sono molti fornitori e ciascuno ha le istruzioni per renderli operativi dopo l’acquisto.

    Sul secondo, i software client di posta Open Source come Thunderbird, offrono queste funzionalità con qualche passaggio. Grazie a questa coppia di chiavi, che saranno sotto la responsabilità di ogni singolo utente, ogni account email potrà sia firmare che cifrare il contenuto delle email inviate. Per rendere funzionale questa tecnica però c’è bisogno di un paio di “sbatti” in più. Con queste chiavi serve un minimo di collaborazione: il destinatario deve salvare la tua chiave pubblica nel proprio client di posta prima di poter rendere operativa questa modalità. Il mittente da parte sua può mettere in allegato fisso alla sua email la chiave pubblica (pesa pochissimi Kbytes) mentre il destinatario…questo piccolo sforzo per un Mondo più sicuro lo deve fare. Tu invece devi mettere le chiavi in tutti i dispositivi che usi per inviare la posta.

    Le tua chiavi rimangono sul tuo PC e a meno di un furto direttamente da questo, se un criminale accedesse alla tua posta dal web, non potrebbe firmare a nome tuo. Non sto a scrivere che la chiave privata deve essere ben custodita…se persa o compromessa la coppia può essere revocata, ma deve essere comunicato a tutti quelli che hanno la tua chiave pubblica. Altro “sbatti”.

    Ma il DKIM non fa la stessa cosa?? Il DKIM consente al server di posta di firmare le email con la sua coppia di chiavi, non c’è distinzione per ogni singolo account di email e non consente di cifrare il contenuto.

    Soluzione n.3: usa la PEC

    Lo so , lo so, quando qualcuno vede arrivare una PEC…aiuto!! Considerato poi che non viene così controllata…la PEC però, oltre ad essere una raccomandata digitale, ha tutte le garanzie di identità del mittente e del contenuto. Quindi è una possibilità di invio di email più sicure, magari per argomenti importanti. Ovviamente non dovresti usare quella che hai dato alla Camera di Commercio…

    Soluzione n.4: Proteggi le email aziendali dalle truffe formando il personale

    Le persone sono l’ultimo baluardo di difesa…se correttamente formate! Insegnarli a scoprire il vero indirizzo di spedizione della email, a scoprire i typosquatting e gli omografismi può realmente fare la differenza. Considerare il tempo impiegato dal tuo personale in orario di lavoro per la formazione nella sicurezza come tempo perso, è un grave errore.

    Soluzione n.5: tieni fuori gli sconosciuti con password uniche e MFA

    Proteggi le email aziendali dalle truffe tenendo fuori gli sconosciuti! La fuori ci sono in vendita milioni di credenziali di posta elettronica ed il tuo non ci deve essere! Come fare:

    1. Utilizza password uniche: non affidare una password di elemento così importante al primo e-commerce che passa
    2. Utilizza una autenticazione a più fattori (MFA): è veramente noiosa per le email, ma potrebbe essere l’unico elemento tra la tua posta elettronica ed i criminali (ma ricordati di fare il backup del sistema MFA perchè se si rompe lo smartphone poi rimani chiuso fuori)

    Conclusione

    La sicurezza delle email aziendali è un problema serio, ma con un po’ di attenzione e gli strumenti giusti, puoi proteggere la tua PMI dai criminali informatici. Abbiamo visto una soluzione più costosa, l’uso della PEC (ne dovresti avere una per ogni account email aziendale), una gratuita ma un pò “tricky” : implementare SPF, DKIM e DMARC e l’ultima che ha sia una versione gratuita che a pagamento ma che richiede una minima collaborazione dei riceventi: utilizzare una coppia di chiavi pubblica e privata per firmare e volendo cifrare la posta elettronica. Per tenere poi fuori intrusi dalla tua posta ed evitare che ne inviino a nome tuo, password uniche e autenticazione a più fattori. Sei pronto a prevenire la prossima truffa?

    Vuoi saperne di più?

    Dai un’occhiata ai precedenti articoli della nostra rubrica, Fondamenti di Cybersecurity per le PMI:

    Matteo Brandi
    Imprenditore Digitale, Cyber Security Enthusiast. Certificato TCM Security Pratical Network Penetration Tester e CompTIA Security+. Con la sua attività aiuta Aziende e PMI del nostro paese a difendersi dalle minacce informatiche. Membro del Gruppo Hackerhood di Red Hot Cyber.

    Lista degli articoli

    Articoli in evidenza

    Dal Commodore 64 a GitHub! Il BASIC di Gates e Allen diventa open source dopo 48 anni
    Di Redazione RHC - 04/09/2025

    Microsoft ha ufficialmente reso pubblico il codice sorgente della sua prima versione di BASIC per il processore MOS 6502, che per decenni è esistito solo sotto forma di fughe di notizie, copie da mus...

    Nuova Campagna MintsLoader: Buovi Attacchi di Phishing tramite PEC sono in corso
    Di Redazione RHC - 04/09/2025

    Dopo una lunga pausa estiva, nella giornata di ieri il CERT-AgID ha pubblicato un nuovo avviso su una nuova campagna MintsLoader, la prima dopo quella registrata lo scorso giugno. Rispetto alle preced...

    Arriva NotDoor : La Backdoor per Microsoft Outlook di APT28
    Di Redazione RHC - 04/09/2025

    Un avanzato sistema di backdoor associato al noto gruppo di cyber spionaggio russo APT28 permette ai malintenzionati di scaricare dati, caricare file e impartire comandi su pc infettati. Questo sistem...

    Red Hot Cyber Conference 2026: Aperte le Sponsorizzazioni per la Quinta Edizione a Roma
    Di Redazione RHC - 04/09/2025

    La Red Hot Cyber Conference è ormai un appuntamento fisso per la community di Red Hot Cyber e per tutti coloro che operano o nutrono interesse verso il mondo delle tecnologie digitali e della sicurez...

    Hexstrike-AI scatena il caos! Zero-day sfruttati in tempo record
    Di Redazione RHC - 04/09/2025

    Il rilascio di Hexstrike-AI segna un punto di svolta nel panorama della sicurezza informatica. Il framework, presentato come uno strumento di nuova generazione per red team e ricercatori, è in grado ...