Author: Marzia Catino
Committee: Cybersecurity Strategic Committee
Date: 17/01/2025
In data 12 novembre 2024 i Comitati del Centro di Eccellenza STEPPO “Cybersecurity committee” e “Banking Commette” hanno dibattuto su due attuali problematiche: “Spoofing e CEO Fraud”.
In questo blog analizzeremo da un punto di vista maggiormente tecnico questi tipi di azioni.
Con il termine “Spoofing” 1 facciamo riferimento ad un attacco informatico in cui un utente o un insieme di utenti in mala fede, fingendosi un’entità fidata ma diversa da quella reale, cerca di carpire e manipolare dati, rubare denaro, eludere i controlli di accesso alle reti e diffondere malware tramite link. Questo tipo di attacco può manifestarsi in diverse forme, tra cui:
· Web site spoofing: questi attacchi consistono nel creare una copia, più o meno credibile, di un sito web legittimo, riproducendo il layout, i font, i colori e i loghi in modo da sembrare autentici. L’obiettivo è ingannare gli utenti, spingendoli ad inserire i propri dati sensibili.
· E-mail spoofing: l’attaccante fingendosi un mittente legittimo, utilizza indirizzi e-mail falsi per inviare messaggi con l’intento di diffondere malware o rubare dati sensibili della vittima.
· Spoofing dell’ID chiamante: nel caso di un attacco di “caller ID spoofing”, gli aggressori sfruttano spesso la tecnologia VoIP per manipolare facilmente il numero di telefono e creare un ID chiamante fittizio, con l’obiettivo di ingannare chi risponde e avviare una truffa telefonica.
· Spoofing degli SMS: l’aggressore può impersonare l’ID alfanumerico di un contatto o di un’istituzione, inviando un SMS a nome di quest’ultimo. Ad esempio, il messaggio potrebbe contenere un link che rimanda a un sito di phishing (ad esempio, su temi di consegne o home banking) o che avvia il download di un malware.
· IP spoofing: l’aggressore tenta di mascherare l’identità di un client o di un server, facendo sembrare che le informazioni inviate o ricevute provengano da una fonte affidabile, grazie all’uso di un indirizzo IP falsificato che impersona quello di un altro host.
· Spoofing del server DNS: questo tipo di attacco consente di dirottare il traffico dati verso destinazioni diverse da quelle desiderate dal browser della vittima. Nell’ambito di questo spoofing, l’attaccante può compromettere un server DNS (Domain Name System) 2, alterando le tabelle di traduzione degli indirizzi. Di conseguenza, le modifiche apportate ai database del server DNS potrebbero far sì che un PC, durante una ricerca, venga reindirizzato verso un sito fraudolento invece che verso quello legittimo richiesto.
· ARP Spoofing: in questo tipo di attacco, un utente malintenzionato invia messaggi ARP (Address Resolution Protocol) falsificati all’interno di una rete locale. L’ARP spoofing richiede che l’attaccante abbia accesso diretto alla rete da compromettere. L’obiettivo è associare il proprio indirizzo hardware con l’indirizzo IP di un altro host. In questo modo, tutto il traffico destinato a quell’indirizzo IP viene dirottato verso l’attaccante, che può intercettarlo o manipolarlo.
Riconoscere gli attacchi di spoofing richiede una particolare attenzione 3. I legittimi proprietari dovrebbero essere cauti dinanzi a messaggi sospetti che richiedono informazioni personali e che contengono errori grammaticali. Tuttavia, molti attacchi, come quelli tramite Caller ID o E-mail spoofing, risultano essere difficili da individuare così da condurre alcuni utenti a rispondere facilitando l’attaccante.
Analizzando invece la dimensione aziendale troviamo la c.d. “CEO Fraud” 4, noto anche come “Business Email Compromise (BEC)”.
Si tratta di una forma particolare di spoofing in cui un soggetto si finge un CEO o un altro dirigente aziendale e si inserisce in conversazioni e-mail già in corso, inducendo i dipendenti ad effettuare transazioni finanziarie fraudolente. Questi attacchi sono particolarmente pericolosi perché si basano sull’ingegneria sociale e sull’abilità di manipolare la fiducia delle vittime.
Sorge spontaneo domandarsi come ci si possa difendere da tale minaccia informatica. La risposta risiede nell’adozione di una serie di strategie di difesa che combinano tecnologia, formazione e procedure operative adeguate.
Il primo passo fondamentale è sicuramente una formazione adeguata del personale. 5
A questo proposito, organizzare corsi di formazione periodici è essenziale al fine di preparare i propri collaboratori a riconoscere i segnali di un possibile attacco. Le e-mail sospette, le richieste di pagamento inusuali o le chiamate non verificate possono nascondere tentativi di inganno.
Un’altra strategia fondamentale è l’autenticazione a due fattori (2FA). L’adozione di questa tecnologia aggiunge un ulteriore livello di sicurezza per gli accessi ai sistemi aziendali, in particolare per quelli che gestiscono transazioni finanziarie. Grazie alla 2FA, anche se un attaccante riesce a ottenere le credenziali di un dipendente, sarà comunque molto più difficile per lui accedere agli account protetti. Inoltre, è fondamentale implementare una verifica multilivello delle transazioni finanziarie. Ogni pagamento o trasferimento di denaro deve passare attraverso un processo di approvazione che coinvolga più persone. Questo riduce il rischio di cadere in trappola a causa di una richiesta fraudolenta, come quelle tipiche del CEO Fraud. Allo stesso tempo, dobbiamo adottare tecnologie avanzate per la protezione delle e-mail. Filtri antispam e sistemi di protezione come SPF, DKIM e DMARC sono misure fondamentali per impedire che e-mail fraudolente arrivino nelle nostre caselle di posta. Il monitoraggio costante dei sistemi è un’altra azione cruciale. Utilizzare strumenti che rilevano attività sospette permette di intervenire tempestivamente in caso di attacco.
Essere pronti a identificare anomalie nelle transazioni o nelle comunicazioni aziendali ci consente di prevenire danni potenzialmente gravi. Anche la protezione dei domini aziendali è essenziale. Attacchi come il website spoofing possono compromettere la fiducia dei nostri clienti e partner. Proteggere i nostri domini e monitorare costantemente la creazione di domini simili ai nostri è fondamentale per difendere la nostra reputazione online. Inoltre, dobbiamo fare attenzione alla gestione delle password. Ogni dipendente deve utilizzare password forti (un numero minimo di lettere maiuscole e minuscole, numeri, caratteri speciali e non contenente informazioni personali che si possano reperire) e uniche per ogni account aziendale, evitando la tentazione di riciclare le stesse credenziali. L’uso di un password manager è un ottimo alleato per garantire la sicurezza delle credenziali aziendali. Infine, è importante condurre simulazioni di attacchi e audit regolari per testare le difese. Organizzare simulazioni di attacchi di spoofing e CEO fraud aiuta a verificare la preparazione del nostro team e l’efficacia delle nostre contromisure, così da non trovarci impreparati in caso di attacco reale 6.
Il tema fondamentale della cybersicurezza potrebbe trovare un’adeguata tutela europea qualora EPPO e alcune Agenzie dell’Unione Europea, come Eurojust ed Europol, collaborassero anche in materia cibernetica.
Infatti, nelle situazioni in cui EPPO non ha competenza, Eurojust svolge già un ruolo fondamentale nel garantire la cooperazione internazionale e nel facilitare le indagini tra gli Stati membri 7. Un ruolo senza dubbio cruciale è ricoperto anche da Europol, l’Agenzia di Polizia dell’Unione Europea, che ha dimostrato, attraverso numerose dichiarazioni e rapporti, come questi crimini informatici si siano evoluti in termini di tecniche utilizzate e di come il loro numero sia aumentato significativamente a partire dal 2020.
Come emerge anche dalle analisi condotte dai ricercatori di Clusit (Associazione Italiana per la Sicurezza Informatica), tra il 2019 e il 2024 si è registrato un aumento degli attacchi informatici a livello globale del 110%. 8
In conclusione, la protezione contro minacce come il CEO Fraud e lo spoofing non dipende solo dalla tecnologia, ma anche dalla preparazione e dalla vigilanza di ciascuno di noi. Per contrastare tali minacce dobbiamo avvalerci di accorgimenti con lo scopo non solo di prevenire ma anche di difenderci da questi attacchi sempre più comuni.
1 “Spoofing: cos’è, tipologie di attacco e soluzioni di difesa”; cybersecurity 360; https://www.cybersecurity360.it/nuove-minacce/spoofing-cose-tipologie-di-attacco-e-soluzioni-di-difesa/
2 I DNS sono l’insieme di codici alfanumerici digitati nella barra di ricerca web per raggiungere un determinato sito internet, utilizzati per non dover digitare gli indirizzi IP dei siti, composti da serie di numeri che sarebbero difficili da ricordare.
3 “Come riconoscere un tentativo di spoofing” https://www.acs.it/it/blog/sicurezza-informatica/spoofing-cos-e/
4 “Truffa del CEO: cos’è e come tutelarsi” https://www.certfin.it/educational/truffe-del-capo/#
5 “CEO/BUSINESS EMAIL COMPROMISE (BEC) FRAUD”: https://www.europol.europa.eu/sites/default/files/documents/4_ceo-bec_fraud.pdf
6 “Consigli per prevenire le truffe del CEO” https://www.proofpoint.com/it/threat-reference/ceo-fraud
7 EUR-LEX-European Union https://eur-lex.europa.eu/IT/legal-content/summary/eurojust.html#:~:text=Eurojust%20esercita%20la%20propria%20autorità,non%20esercitare%20la%20propria%20competenza.
8 “Rapporto Clusit 2024 – Edizione di metà anno, ottobre 2024”; https://clusit.it/rapporto-clusit/