Cos’è lo spoofing?

Il termine “Spoofing” deriva dall’inglese e si riferisce a tutto ciò che rientra nella sfera dell’imbroglio o della fal­si­fi­ca­zio­ne. In italiano si par­le­reb­be di una si­mu­la­zio­ne di fatti. Esiste anche il verbo “to spoof (something)” che indica la fal­si­fi­ca­zio­ne di un elemento di iden­ti­fi­ca­zio­ne, fi­na­liz­za­ta a ingannare chi ci sta di fronte e a na­scon­de­re la reale identità.

In linea di massima gli attacchi di spoofing hanno come obiettivo quello di con­vin­ce­re la vittima a compiere un’azione, a con­si­de­ra­re un’in­for­ma­zio­ne come vera o a ri­co­no­sce­re l’autorità di una fonte. Se vi sembra un discorso astratto, qui di seguito troverete due esempi comuni al di fuori del mondo virtuale:

1. La “falsa promessa di ma­tri­mo­nio”: per avere accesso al pa­tri­mo­nio fi­nan­zia­rio della vittima, il truf­fa­to­re si finge un amorevole coniuge.
2. Il “falso nipote”: il truf­fa­to­re telefona a una persona anziana fingendo di esserne il nipote e si inventa una si­tua­zio­ne di emergenza che porta la vittima a ef­fet­tua­re un bonifico.

In entrambi i casi il truf­fa­to­re usa un espe­dien­te. I sistemi digitali offrono molte altre op­por­tu­ni­tà per creare questo tipo di truffe.

Internet consente infatti di inviare messaggi in grandi volumi senza grande sforzo; allo stesso tempo è spesso re­la­ti­va­men­te semplice fal­si­fi­ca­re le ca­rat­te­ri­sti­che iden­ti­fi­ca­ti­ve dei messaggi. Molti attacchi di spoofing sono possibili proprio perché Internet è stato concepito come un sistema aperto. Gli sforzi per cercare di aumentare la sicurezza in Internet sono sempre in corso.

Gli attacchi di spoofing coprono un’ampia gamma di possibili ag­gres­sio­ni, non è quindi possibile indicare un unico sistema pro­tet­ti­vo. For­tu­na­ta­men­te però ci sono più com­por­ta­men­ti generali che, nel complesso, mi­ni­miz­za­no il rischio di essere vittime di un attacco di spoofing.

Potete evitare un attacco solamente se lo ri­co­no­sce­te. Se un attacco di spoofing si propaga a livello di pacchetti dati minimi e viene scambiato in rete, nella maggior parte dei casi non ve ne accorgete. Proprio per questo so­li­ta­men­te non siete in grado di impedire attacchi a livello di rete. Le falle di sicurezza a questo livello vengono evitate tramite gli ag­gior­na­men­ti di sicurezza dei pro­dut­to­ri di software.

Gli attacchi di spoofing più frequenti, perché più redditizi, sono quelli rivolti di­ret­ta­men­te alle persone. L’ag­gres­so­re contatta di­ret­ta­men­te la vittima, per esempio via mail o te­le­fo­na­ta. Nella maggior parte dei casi lo scopo è quello di provocare un’azione di chi si trova dall’altra parte. Se l’obiettivo dell’attacco di spoofing è quello di reperire in­for­ma­zio­ni (come password o dati bancari), si parla anche di attacchi di phishing.

Par­ti­co­lar­men­te pe­ri­co­lo­so è il co­sid­det­to spear phishing, perché rivolto a una de­ter­mi­na­ta persona o isti­tu­zio­ne. Un attacco di spear phishing sfrutta in­for­ma­zio­ni spe­ci­fi­che ap­pa­ren­te­men­te credibili in un messaggio. Convinta dell’af­fi­da­bi­li­tà del messaggio, la vittima viene colpita dalla frode “come da una lancia”.

Per fa­ci­li­tar­si il lavoro, gli ag­gres­so­ri puntano all’anello più debole della catena, perciò è van­tag­gio­so ridurre al minimo i propri punti deboli ap­pli­can­do pratiche semplici e generali. In questo modo sarete un bersaglio meno al­let­tan­te. Inoltre molti attacchi fun­zio­na­no solamente quando gli ag­gres­so­ri combinano in­for­ma­zio­ni pro­ve­nien­ti da varie fonti. Meno in­for­ma­zio­ni su di voi trova, più difficile sarà per un ag­gres­so­re rea­liz­za­re il suo piano. Di seguito vi forniamo un vademecum di come com­por­tar­si per evitare di cadere vittime di un attacco di spoofing.

Un attacco di phishing risulta tanto più credibile, quanto più det­ta­glia­te sono le in­for­ma­zio­ni che l’ag­gres­so­re ha a di­spo­si­zio­ne. Proprio per questo motivo dovreste ridurre al minimo le in­for­ma­zio­ni di­spo­ni­bi­li su di voi. Non dovreste per esempio mai dif­fon­de­re la vostra data di nascita! Assieme ad altre in­for­ma­zio­ni personali, la data di nascita è spesso uti­liz­za­ti da col­la­bo­ra­to­ri per ve­ri­fi­ca­re l’identità di chi telefona.

Si consiglia di mantenere ri­ser­va­tez­za anche per quanto riguarda i propri dettagli la­vo­ra­ti­vi come il ruolo ricoperto all’interno dell’azienda. Vi con­si­glia­mo di ag­gior­na­re le in­for­ma­zio­ni presenti sui vostri profili su LinkedIn, Xing, Facebook ecc. solo dopo sei mesi.

Se le vostre in­for­ma­zio­ni pubbliche sono poche, gli ag­gres­so­ri passano a una strategia al­ter­na­ti­va: creano un account social, per esempio Facebook, e vi inviano una richiesta di amicizia. Ac­cet­tan­do l’invito, con­sen­ti­te all’ag­gres­so­re di accedere fa­cil­men­te ad altre in­for­ma­zio­ni private, che potrà uti­liz­za­re per truffarvi.

In questo tipo di attacco è frequente l’apertura di un account a nome di una persona co­no­sciu­ta. Nel caso in cui ciò non fosse possibile viene uti­liz­za­ta una foto lasciva di una persona attraente per l’immagine del profilo dell’account. Molti non vi resistono e cadono così nella trappola.

Per tutelarvi dagli attacchi dovreste seguire i consigli generali relativi alla sicurezza IT: tenete ag­gior­na­to il vostro sistema e il vostro software, uti­liz­za­te un firewall e un filtro spam ed ef­fet­tua­te regolari backup dei vostri dati. Queste misure sono utili, tuttavia non offrono una pro­te­zio­ne totale. Si tratta più che altro di un sistema per evitare di essere con­si­de­ra­ti una preda facile.

Le im­po­sta­zio­ni di default sono le im­po­sta­zio­ni pre­de­fi­ni­te di fabbrica di un di­spo­si­ti­vo, software o servizio online. Se l’im­po­sta­zio­ne è la stessa per ogni di­spo­si­ti­vo o utente, gli ag­gres­so­ri ne possono trarre vantaggio, per questo si consiglia di mo­di­fi­ca­re le im­po­sta­zio­ni di default. In questo modo diminuite il rischio di diventare l’obiettivo di un attacco.

In passato, ad esempio, venivano quasi sempre forniti router con accessi admin aperti. Anche i computer Windows sono stati forniti per molto tempo con porte aperte, quindi com­ple­ta­men­te aperti in Internet. In entrambi i casi il pericolo poteva essere limitato mo­di­fi­can­do i valori pre­im­po­sta­ti, ma la maggior parte degli utenti non lo sapeva.

I valori di default però non sono un rischio solamente a livello tecnico, anche le im­po­sta­zio­ni della sfera privata dei social network possono essere troppo per­mis­si­ve allo stato di fabbrica. Sfor­tu­na­ta­men­te molte aziende traggono vantaggio dall’utente “tra­spa­ren­te” di default. Tocca quindi a voi adattare le im­po­sta­zio­ni. Nel farlo seguite il principio dell’economia dei dati: ini­zial­men­te per il vostro account create im­po­sta­zio­ni il più re­strit­ti­ve possibile e al­len­ta­te­le solo in maniera graduale e ragionata.

Per le ap­pli­ca­zio­ni in cui la sicurezza è molto rilevante, come ad esempio l’online banking e la co­mu­ni­ca­zio­ne cifrata, può avere senso l’utilizzo di un di­spo­si­ti­vo il più possibile isolato. Può ad esempio trattarsi di un piccolo notebook su cui è in­stal­la­to un sistema operativo ap­po­si­ta­men­te pro­get­ta­to per la sicurezza, come le di­stri­bu­zio­ni libere Linux Subgraph e Tails.

Se uti­liz­za­te re­go­lar­men­te un di­spo­si­ti­vo sicuro, non rientrate nel target dell’ag­gres­so­re: quest’ultimo presume infatti che voi uti­liz­zia­te un computer normale, pertanto l’utilizzo di un di­spo­si­ti­vo diverso sventa l’attacco.

Cosa fare quando si pensa di essere l’obiettivo di un attacco di spoofing? Im­ma­gi­nia­mo­ci la seguente si­tua­zio­ne: ricevete un’e-mail che sembra trattare di qualcosa di im­por­tan­te: un bonifico non è andato a buon fine, il vostro conto è stato hackerato e la re­gi­stra­zio­ne del vostro dominio scade. Vi viene richiesto di agire ra­pi­da­men­te per evitare il peggio.

No­no­stan­te la notizia sembri ini­zial­men­te credibile, vi accorgete che c’è qualcosa di strano. Le in­for­ma­zio­ni po­treb­be­ro sembrarvi poco coerenti oppure vi sentite costretti a in­tra­pren­de­re una de­ter­mi­na­ta azione. Non sapete se si tratti di un attacco. Come vi dovreste com­por­ta­re?

Per prima cosa: mantenete la calma e non agite d’impulso. Nel caso in cui il messaggio sia una mail non cliccate in nessun caso su un link. Uti­liz­za­te un secondo canale di co­mu­ni­ca­zio­ne per con­fer­ma­re la ve­ri­di­ci­tà del messaggio. È quindi fon­da­men­ta­le limitare il pericolo di possibili attacchi. Se possibile uti­liz­za­te un di­spo­si­ti­vo separato e un’app sicura che non faccia parte delle vostre solite ap­pli­ca­zio­ni standard.

Ecco un paio di esempi concreti: poniamo che abbiate ricevuto un’e-mail pre­su­mi­bil­men­te fal­si­fi­ca­ta sul vostro computer di lavoro. Come secondo canale di co­mu­ni­ca­zio­ne uti­liz­za­te un’ap­pli­ca­zio­ne di mes­sag­gi­sti­ca cifrata end-to-end sullo smart­pho­ne.

Avete ricevuto una chiamata sospetta o un messaggio sul vostro cellulare. A questo punto il cellulare va con­si­de­ra­to come com­pro­mes­so, quindi uti­liz­za­te il telefono del collega, per prendere contatto con una persona di fiducia.

Questi attacchi di spoofing hanno come obiettivo quello di ab­bin­do­la­re l’utente. Nel caso par­ti­co­la­re del phishing viene uti­liz­za­ta una replica falsa di un sito Internet per accedere ai dati riservati.

Gli attacchi URL spoofing hanno come obiettivo quello di rifilare all’utente un URL ma­ni­po­la­to fa­cen­do­gli credere che l’URL sia serio e a lui noto. Se l’utente apre in­ge­nua­men­te l’URL, viene rein­di­riz­za­to a una pagina dannosa. Perché un tale tipo di attacco di URL spoofing funzioni, l’hacker deve avere il controllo sul dominio uti­liz­za­to.

a. Schema di un link HTML in lin­guag­gio markdown.

b. Esempio di link legittimo: il titolo del link ri­spec­chia la pagina effettiva che vi sta dietro.

c. Esempio di link frau­do­len­to: il titolo del link rimanda a una pagina innocua e nasconde così il vero obiettivo del link.

d. Rap­pre­sen­ta­zio­ne di un esempio di link frau­do­len­to in HTML.

Per pro­teg­ger­vi potete ve­ri­fi­ca­re l’URL di de­sti­na­zio­ne del link. Se po­si­zio­na­te il cursore sul link, vi verrà mostrato il reale URL di de­sti­na­zio­ne. Sarebbe ancora più opportuno non cliccare sul link presente nella mail e copiare invece l’indirizzo di de­sti­na­zio­ne tramite tasto destro. Così potete esaminare il link tramite una finestra del browser in incognito. Questo utile truc­chet­to funziona anche sui di­spo­si­ti­vi mobile. Potete copiare l’indirizzo del link, inserirlo nel campo di testo ed esa­mi­nar­lo.

Anche gli URL che non fanno parte di un link su cui si può cliccare sono uti­liz­za­ti per attacchi di spoofing. A volte gli ag­gres­so­ri sfruttano la so­mi­glian­za di lettere diverse per im­bro­glia­re la propria vittima. In alcuni casi questi co­sid­det­ti attacchi omo­gra­fi­ci possono essere difficili da ri­co­no­sce­re.

Nel caso più semplice l’ag­gres­so­re utilizza un URL o un dominio con lettere che combinate tra loro sembrano un’altra lettera. Ecco degli esempi:

• E-mail da “support@lacebook.com”: al posto di una “f” viene uti­liz­za­ta una “l” minuscola.
• Link con de­sti­na­zio­ne “https://secure.arnazon.com/”: la com­bi­na­zio­ne delle lettere “rn” richiama la lettera “m”. Il sot­to­do­mi­nio “secure” e “https” ri­chia­ma­no l’at­ten­zio­ne dell’utente e di­strag­go­no dal dominio oggetto di spoofing.

Il successo della truffa dipende per gran parte dal carattere uti­liz­za­to, ma se il contenuto dell’e-mail è ab­ba­stan­za coin­vol­gen­te, riesce a distrarre da un dettaglio così piccolo che finisce per essere tra­scu­ra­to.

Più difficile da scoprire è un’altra variante di attacco omo­gra­fi­co: l’In­ter­na­tio­na­li­zed Domain Name (IDN). In questo caso l’ag­gres­so­re vi manda un URL che contiene lettere di un altro alfabeto. Se si tratta di lettere simili dal punto di vista visivo all’alfabeto latino, l’URL può apparire autentico. Gli hacker uti­liz­za­no quindi indirizzi punycode. Il trucco: l’URL originale ad esempio non contiene la “a” latina bensì la sua variante in cirillico. Le due lettere sono molto simili e quindi fa­cil­men­te con­fon­di­bi­li. Inoltre, alcuni browser non rap­pre­sen­ta­no gli URL non latini come punycode, quindi l’utente non capisce di essere approdato su un sito Internet truccato.

Per evitare attacchi omo­gra­fi­ci dovreste as­si­cu­rar­vi che il vostro browser rap­pre­sen­ti sempre i domini con lettere non latine come punycode. Inoltre non dovreste mai cliccare su URL in cui la sicurezza è fon­da­men­ta­le, come per esempio il sito del vostro online banking, bensì salvarlo tem­po­ra­nea­men­te nei preferiti.

Nel caso in cui vi ri­tro­va­ste su una pagina web di cui dubitate l’au­ten­ti­ci­tà, procedete come segue:

• ve­ri­fi­ca­te se la pagina sia stata caricata tramite cifratura HTTPS: la maggior parte dei siti Internet supporta la cifratura HTTPS. Og­gi­gior­no qualsiasi pagina che richieda dati personali, come una password, dovrebbe essere caricata sempre ed esclu­si­va­men­te tramite HTTPS. Se così non fosse, sussiste l’elevato rischio che si tratti di un sito fal­si­fi­ca­to.
• Ve­ri­fi­ca­te il cer­ti­fi­ca­to SSL: nel caso in cui il sito sia stato caricato tramite cifratura HTTPS, potete farvi mostrare il cer­ti­fi­ca­to SSL del server. As­si­cu­ra­te­vi che il cer­ti­fi­ca­to si riferisca all’or­ga­niz­za­zio­ne pro­prie­ta­ria del sito. In caso contrario, potreste even­tual­men­te trovarvi su un sito fal­si­fi­ca­to.
• Se avete ancora dubbi a riguardo, chiudete la finestra del browser.

Gli attacchi digitali non sono da prendere alla leggera; una volta rubati dati sensibili, è difficile limitare i danni. La prudenza non è mai troppa.

Oltre al testo del messaggio vero e proprio, un’e-mail contiene anche metadati nell’header. L’header comprende vari campi come “da”, “a”, “rispondi a” ecc. Con un software è possibile so­vra­scri­ve­re i contenuti dei campi header senza grande sforzo con i valori de­si­de­ra­ti. Se nel campo “da” di un’e-mail ricevuta compare l’indirizzo del vostro capo, non è detto che l’e-mail provenga ef­fet­ti­va­men­te da lui. Un ag­gres­so­re può infatti mo­di­fi­ca­re il campo “rispondi a” inserendo dati inventati. La vittima crederà quindi di ri­spon­de­re al presunto legittimo indirizzo “da”, quando di fatto sta sem­pli­ce­men­te ri­spon­den­do all’indirizzo “rispondi a” dell’hacker.

Sulla pagina dell’utente o del software di posta elet­tro­ni­ca esiste tutta una serie di mec­ca­ni­smi di pro­te­zio­ne per con­tra­sta­re gli attacchi e-mail spoofing con lo scopo di ri­co­no­sce­re, segnalare ed eliminare le mail di spoofing. Di seguito li trovate elencati:

• uti­liz­za­re filtri spam: il filtro spam del vostro programma o server di posta elet­tro­ni­ca utilizza l’euristica per ri­co­no­sce­re le e-mail false. Si tratta di un processo che si svolge in maniera com­ple­ta­men­te au­to­ma­ti­ca e offre un livello di pro­te­zio­ne di base.
• Applicare la cifratura dei contenuti: la cifratura del contenuto ga­ran­ti­sce che l’e-mail proviene dal mittente indicato e che il messaggio non è stato mo­di­fi­ca­to. Purtroppo la creazione delle comuni procedure PGP e S/MIME implica un certo dispendio. Anche se efficace, la cifratura dei contenuti è uti­liz­za­ta re­la­ti­va­men­te poco al di fuori di alcune categorie pro­fes­sio­na­li. In al­ter­na­ti­va potete avvalervi di cifrature end-to-end di alcune ap­pli­ca­zio­ni di mes­sag­gi­sti­ca, che offrono gli stessi vantaggi in termini di sicurezza e possono essere subito uti­liz­za­te.
• Vi­sua­liz­za­re ed esaminare l’header di un’e-mail: gli utenti esperti possono anche fare in modo di vi­sua­liz­za­re mail header completi. Questa procedura consente un’analisi ap­pro­fon­di­ta, e con il relativo know-how è possibile capire la pro­ve­nien­za reale della mail.

Inoltre esistono lato server tutta una serie di tec­no­lo­gie il cui scopo è quello di impedire l’invio di e-mail di spoofing. Tra i più usati mec­ca­ni­smi di pro­te­zio­ne lato server troviamo SPF, DKIM e DMARC.

Se tramite il vostro server gestite indirizzi e-mail di proprietà, dovete as­si­cu­rar­vi che almeno SPF e DKIM siano impostati cor­ret­ta­men­te, al­tri­men­ti rischiate che i messaggi di posta inviati le­git­ti­ma­men­te finiscano nella cartella spam dei de­sti­na­ta­ri.

Questo tipo di attacchi di spoofing ha come obiettivo la ma­ni­po­la­zio­ne della co­mu­ni­ca­zio­ne nelle reti. La vittima non è una persona, bensì una rete hardware o software. Visto che si tratta di attacchi che vengono ef­fet­tua­ti a livello di pacchetti dati il normale utente non se ne accorge.

Il Domain Name System, in breve DNS, è un sistema di­stri­bui­to glo­bal­men­te per tra­sfor­ma­re i domini Internet in indirizzi IP. Per un nome di dominio il DNS re­sti­tui­sce un indirizzo IP. Le richieste che hanno già avuto una risposta al DNS sono salvate tem­po­ra­nea­men­te nelle cache DNS. Nel caso del DNS Spoofing una voce pe­ri­co­lo­sa è po­si­zio­na­ta nella cache DNS. Ne consegue che le richieste in entrata per la voce ma­ni­po­la­ta for­ni­sco­no un falso indirizzo IP e il traffico dati è così deviato su un altro server. Il DNS spoofing è uti­liz­za­to dai cy­ber­cri­mi­na­li per ef­fet­tua­re phishing e attacchi man in the middle.

A livello utente è possibile di­fen­der­si da attacchi di DNS spoofing uti­liz­zan­do sistemi di cifratura. As­si­cu­ra­te­vi che i siti web visitati siano cifrati via HTTPS. In alcuni casi anche l’uso di una Virtual Private Network (VPN) può pro­teg­ge­re da DNS spoofing.

Nel caso in cui gestiate un vostro dominio, dovreste valutare l’opzione di uti­liz­za­re il sistema di pro­te­zio­ne Domain Name System Security Ex­ten­sions (DNSSEC), il quale sfrutta l’au­ten­ti­ca­zio­ne crit­to­gra­fi­ca per ve­ri­fi­ca­re l’integrità delle richieste DNS. In questo modo viene impedito un DNS spoofing tramite domini protetti DNSSEC.

Il MAC spoofing non ha nulla a che vedere con il modello di computer della nota azienda ca­li­for­nia­na, si tratta invece di un indirizzo MAC che at­tri­bui­sce un nome a un indirizzo fisico di un di­spo­si­ti­vo di rete. L’indirizzo MAC è un numero univoco che viene uti­liz­za­to in maniera singola per un di­spo­si­ti­vo in rete. Anche se ciascun di­spo­si­ti­vo di rete ha in­cor­po­ra­to un indirizzo fisso, può essere fa­cil­men­te oggetto di spoofing a livello di software. La pos­si­bi­li­tà di ef­fet­tua­re uno spoofing del proprio indirizzo MAC è spesso uti­liz­za­ta dagli utenti per aggirare le li­mi­ta­zio­ni.

A livello di reti locali (LAN) viene uti­liz­za­to l’Address Re­so­lu­tion Protocol (ARP) per se­le­zio­na­re gli indirizzi MAC ap­par­te­nen­ti a indirizzi IP di una tabella. Gli attacchi ARP hanno come obiettivo quello di ma­ni­po­la­re le voci delle tabelle per deviare il traffico dati IP a un indirizzo MAC nocivo. In questo modo l’ag­gres­so­re può in­ter­cet­ta­re e fal­si­fi­ca­re il traffico dati, rap­pre­sen­tan­do un serio pericolo.

Nell’IP spoofing vengono inviati pacchetti dati TCP/IP o UDP/IP con un falso indirizzo mittente. Nella maggior parte dei casi questo attacco viene uti­liz­za­to come parte in­te­gran­te di attacchi DoS e DDoS.