Una recente tipologia di attacco hacker, nota col nome di spoofing, rischia di mettere l’utente in una situazione molto scomoda: quella in cui ricevo una mail da me stesso.
Lo spoofing viene utilizzato per inoltrare spam, ma anche per organizzare truffe molto più pericolose, che sfruttano il social engineering.
Per imparare cosa fare per difendersi dallo spoofing bisogna innanzitutto conoscere la minaccia nel dettaglio. Dopodiché è possibile sfruttare tutta una serie di soluzioni tecnologiche.
Cos’è lo spoofing
Credits Shutterstock
Il termine spoofing deriva dall’inglese “spoof”, un sostantivo che allude a diverse tipologie di falso o imbroglio: dalla beffa più bonaria alla truffa realizzata a scopo di lucro.
In informatica lo spoofing è un particolare attacco realizzato dagli hacker, che ruota attorno a svariate attività di falsificazione. Ad esempio la falsificazione dell’identità di un host, ma anche la falsificazione del mittente nell’ambito di una comunicazione.
In linea generale si può parlare di spoofing ogni qualvolta un malintenzionato sfrutti la rete per spacciarsi per qualcun altro. Detto ciò è anche possibile enumerare alcune macro-categorie di spoofing, sulla base dei livelli dello stack TCP/IP e di quelli del modello ISO/OSI.
Si parla di spoofing a livello 2 nel caso in cui l’attacco hacker abbia a che fare con il Network Access Layer. Ad esempio il MAC spoofing falsifica l’indirizzo MAC dei dispositivi.
L’ARP spoofing si manifesta invece con l’invio di un messaggio ARP: in questo caso l’obiettivo di solito consiste nell’associare un indirizzo MAC all’IP di un host esterno.
Lo spoofing è un attacco hacker che ha a che fare con la falsificazione dell’identità
Si parla di spoofing a livello 3 nel caso in cui l’attacco hacker abbia a che fare con l’Internet Layer. È il caso dell'IP spoofing: una truffa in cui l’hacker crea un pacchetto IP con indirizzo IP del mittente falsificato.
Si parla invece di spoofing a livello 4 nel caso in cui l’attacco abbia a che fare con il Transport Layer. Si pensi in tal senso allo spoofing UDP e allo spoofing TCP.
Nel primo caso l’hacker sfrutta un protocollo connectionless per falsificare l’header di un datagram UDP immettendo determinate informazioni desiderate.
Nel secondo caso, anche noto come bling spoofing, l’hacker sfrutta un protocollo connection oriented, inviando un pacchetto ACK al server con IP e sequence number falsificati.
Come funziona lo spoofing avanzato
Credits Shutterstock
Quando si parla di spoofing avanzato spesso si fa riferimento al cosiddetto spoofing a livello 7: quello che ha a che fare con l’Application Layer e che spesso si avvale di tecniche di social engineering.
Alcuni esempi in tal senso sono il web spoofing, il DNS spoofing, il referer spoofing e il caller ID spoofing. Truffe che prevedono rispettivamente il coinvolgimento di un server web, un server DNS, una richiesta HTTP falsificata o una chiamata VoIP.
Infine è impossibile non menzionare l’email spoofing: una truffa in cui il malintenzionato falsifica l’indirizzo mittente di una comunicazione scritta.
L’email spoofing è spesso una componente vitale di truffe più elaborate: dal semplice spam all’invio di malware o al phishing. Modificare il mittente di un'email permette infatti di attribuirle credibilità, generando gli effetti desiderati nella vittima.
L’email spoofing permette di perpetrare truffe particolarmente pericolose: dal phishing al social engineering
Si pensi in tal senso alla preoccupazione che può generare una mail inviata dalle forze dell’ordine che invita a presentarsi in tribunale. Ma anche all’euforia che può generare una mail inviata da un qualsiasi operatore che annuncia ricchi premi.
C’è poi un ulteriore tipologia di email spoofing che riesce a generare un impressionante mix di legittimità, sorpresa e preoccupazione. Il classico caso esemplificabile con la dicitura: ricevo una mail da me stesso.
Questo presupposto di spoofing, tecnicamente molto semplice, viene utilizzato per recapitare messaggi ricattatori di varia natura. Di solito il mittente dichiara di essere un hacker e di essere entrato in possesso delle credenziali della vittima.
In realtà è possibile simulare l’invio di una mail dallo stesso indirizzo del destinatario senza avere alcun tipo di accesso alle sue informazioni personali.
Come difendersi dallo spoofing
Credits Shutterstock
Arrivati a questo punto è lecito chiedersi cosa fare per difendersi dallo spoofing. Per fortuna esistono diverse strade da seguire, a partire da semplici applicazioni buon senso.
Un primo consiglio consiste nel prestare sempre massima attenzione a ogni comunicazione che si riceve: questo vuol dire leggere l’oggetto e il corpo del messaggio, leggere il mittente e verificare se ci sono eventuali punti di attenzione. Uno su tutti la mancanza di coerenza tra il tipo di comunicazione inviata e l’indirizzo utilizzato per inviarla.
Per il resto esistono diverse soluzioni software che permettono all’utente di proteggersi dalle varie tipologie di spoofing elencate nei capoversi precedenti.
Gli antivirus più recenti sono dotati di sistemi di protezione dai principali attacchi hacker: dallo spoofing al phishing, passando per l’installazione di virus e malware.
Esistono diverse tecnologie che aiutano a proteggersi dallo spoofing: dagli antivirus al Record DMARC
Più in generale le soluzioni che sfruttano lo standard IEEE802.1x sono dotate di una serie di controlli molto approfonditi, che identificano rapidamente intrusioni sgradite.
A ciò si aggiunge il fatto che gli stessi provider nel corso degli anni hanno sviluppato correttivi e strategie per contrastare gli attacchi hacker. A partire dai classici filtri antispam, fino ad arrivare a tecnologie più avanzate.
Una su tutte l’introduzione del Record DMARC (Domain-based Message Authentication, Reporting & Conformance): un sistema di convalida, segnalazione e conformità dei messaggi email.
Una delle applicazioni pratiche del Record DMARC consiste nel controllare che l’indirizzo email che l’utente legge come mittente corrisponda al dominio da cui proviene effettivamente l’email. Un metodo efficace per ridurre sensibilmente il rischio di spoofing.
Per saperne di più: Sicurezza informatica, guida alla navigazione sicura sul web