La posta elettronica resta uno degli strumenti più utilizzati dai criminali informatici per aggredire i sistemi di aziende e utenti privati. La strategia consiste nell’avviare pesanti campagne spam per “colpire nel mucchio” oppure attacchi phishing mirati per bersagliare i dipendenti di una specifica impresa.
Le email vengono confezionate in maniera tale da apparire il più possibile plausibili e utilizzati alcuni trucchi per far apparire come se provenissero da contatti noti.
L’email gateway utilizzato in azienda spesso integra protezione antivirus e antispam: messaggi che contenessero allegati malevoli o contenessero link che puntano a URL potenzialmente pericolosi di norma non dovrebbero mai raggiungere le caselle degli utenti.
La realtà è molto diversa perché invece capita spesso che i filtri dell’email gateway falliscano e un messaggio di posta elettronica malevolo venga comunque recapitato al destinatario.
I malware writer modificano continuamente il loro comportamento e utilizzano nuove e più evolute tecniche per provare a superare i filtri dell’email gateway.
In un altro approfondimento abbiamo visto quale servizio scegliere per creare un indirizzo email; di seguito proponiamo invece alcuni suggerimenti per proteggere la posta elettronica.
Alcuni consigli per proteggere la casella di posta elettronica
1) Non fidarsi delle soluzioni antivirus e antispam che agiscono sulle caselle email. La prima regola è quindi non fidarsi mai ciecamente di una soluzione di protezione della casella di posta, neppure di quelle utilizzate a livello centralizzato in azienda.
2) Attivare l’autenticazione a due fattori. Per proteggere gli account email che contengono informazioni importanti si dovrebbe sempre attivare l’autenticazione a due fattori (o “verifica in due passaggi” come la chiama Google).
In questo modo anche nel caso in cui un aggressore dovesse malauguratamente risalire alla password per l’accesso all’account di posta, non potrà effettuare il login perché per procedere è necessaria un’ulteriore autorizzazione.
L’autorizzazione aggiuntiva può ad esempio consistere nel toccare un pulsante sul dispositivo mobile o nel digitare un codice autorizzativo ricevuto sempre sullo smartphone.
Suggeriamo di fare riferimento alla configurazione dei singoli account di posta per scoprire se fosse possibile attivare l’autenticazione a due fattori. Tanti servizi di posta consentono di appoggiarsi ad applicazioni come Google Authenticator e Microsoft Authenticator: si tratta di strumenti che permettono di generare un codice OTP (one-time-password) o token da inserire nell’interfaccia del servizio di posta per confermare l’accesso.
Grazie a quest’approccio soltanto chi è contemporaneamente in possesso delle credenziali corrette e dello smartphone usato per l’autenticazione a due fattori potrà accedere al contenuto dell’account di posta.
Di solito è anche possibile configurare come fidato un dispositivo usato per accedere all’account email. Così facendo non si dovrà ogni volta confermare l’accesso con l’autenticazione a due fattori.
3) Attenzione all’autenticazione con il protocollo OAuth
Il protocollo OAuth 2.0 utilizzato da molti fornitori di servizi per facilitare l’accesso con account Google, Microsoft, Facebook, Apple e così via può essere sfruttato per sferrare attacchi phishing. Ne parliamo in un altro articolo in cui spieghiamo come funziona OAuth e quali problemi possono presentarsi.
Alcune tipologie di attacco possono essere utilizzate per forzare l’accesso agli account degli utenti che usano OAuth rubando il contenuto dei cookie di sessione.
Attenzione perciò quando si usa OAuth per l’autenticazione sui servizi di terze parti: il rischio potrebbe essere quello di condividere informazioni sensibili o addirittura l’accesso al contenuto di un account di posta elettronica.
4) Utilizzo di protocolli crittografici
Se si decidesse di usare un client di posta elettronica per gestire le email è fondamentale accertarsi che il collegamento con il server del provider email avvenga usando protocolli crittografici sicuri. Indipendentemente dal fatto che si utilizzi il protocollo POP3 o IMAP è importante controllare che lo scambio dei dati avvenga utilizzando almeno TLS 1.2. In un altro articolo abbiamo visto le differenze SSL, STARTTLS e TLS.
Avvalendosi anche del Rapporto sulla trasparenza di Google bisognerebbe anche verificare che le email inviate e ricevute dal provider, una volta arrivate sui suoi server, vengano scambiate in modo sciuro con gli altri fornitori del servizio di posta.
5) Attenzione agli allegati e ai link presenti nei messaggi di posta
Usando la ben nota tattica chiamata email spoofing è possibile far credere a un destinatario che l’email arrivi da una persona che in realtà non l’ha mai inviata.
Controllando le intestazioni delle email (header) è possibile capire da quale sistema l’email è stata spedita ed esaminare in maniera più puntuale il contenuto del messaggio.
In molti installano antimalware che analizzano il contenuto delle email (allegati, testo e link presenti): per effettuare la scansione dei messaggi viene installato un proxy locale che consente di accedere al contenuto delle email trasferite usando protocolli crittografici (vedere il precedente punto 4).
Alcuni utenti non gradiscono questo tipo di approccio che viene peraltro condiviso per la scansione delle pagine HTTPS.
È sicuramente sensato effettuare una scansione degli allegati sui quali si hanno dubbi con un servizio come VirusTotal ma è bene tenere presente che nel caso di qualche minaccia da poco apparsa in rete i motori di scansione tradizionali usati da VirusTotal potrebbero non accorgersi del problema. È quindi opportuno accertarsi di usare un antivirus che integra un sistema di scansione basato sull’intelligenza artificiale e sulle informazioni provenienti in tempo reale dal cloud.
Ci sono poi una serie di tattiche molto efficaci che permettono di verificare se un link è sicuro prima di farvi clic. Prima di cliccare non è possibile prescindere dall’analisi della struttura dell’URL che appare in basso a sinistra nella barra di stato del browser o del client di posta spostando il puntatore del mouse sul link.
In un’altra pagina presentiamo alcune semplici metodologie per riconoscere email di phishing.
Consigliamo anche il test di Google Jigsaw che aiuta a stabilire a colpo d’occhio quali sono le email truffaldine.
6) Usare sempre una password sicura per proteggere gli account di posta
Anche se si fosse attivata l’autenticazione a due fattori è importante impostare una password sicura a protezione dell’accesso all’account di posta elettronica.
Deve essere lunga, impossibile da “indovinare” con attacchi basati sul dizionario (non deve contenere parole di uso comune) e in generale brute force, contenente caratteri alfanumerici e simboli.
I possessori di un account utente Microsoft utilizzato per accedere a Windows 10 e Windows 11 non devono mai semplificare la password in modo da digitarla velocemente alla comparsa della schermata di logon del sistema operativo. Per accedere a Windows 10 e Windows 11 si dovrà invece usare il PIN, la sequenza grafica o in generare l’autenticazione con Windows Hello. Così facendo non si dovrà digitare la password dell’account utente Microsoft.