In questa era di attacchi informatici e violazioni dei dati, la maggior parte degli utenti di posta elettronica è alla ricerca di e comprendere i potenziali rischi di, messaggi e allegati provenienti da fonti sconosciute.

Però, che la sola vigilanza potrebbe non bastare a tenerti protetto, secondo una nuova ricerca della Virginia Tech che esamina la crescente sofisticazione degli attacchi di phishing.

Insieme a una scrittura più saggia, ora gli hacker intraprendenti possono falsificare l'indirizzo e-mail di un amico fidato, collaboratore, o affari e inviare e-mail falsificate alle vittime. Con la giusta dose di ingegneria sociale, è facile ottenere informazioni cruciali e sensibili da un destinatario ignaro con una semplice richiesta.

"Questi tipi di attacchi di phishing sono particolarmente pericolosi, " ha detto Gang Wang, un assistente professore di informatica presso il College of Engineering della Virginia Tech. "La tecnologia cambia così rapidamente, e ora un hacker può ottenere facilmente le tue informazioni. Queste informazioni possono essere utilizzate per commettere attacchi informatici che vanno dall'essere leggermente fastidiosi, come avere a che fare con un conto corrente che è stato violato, alle gravi conseguenze della vita fisica e della morte se le informazioni, Per esempio, al mainframe del computer di un ospedale."

Una delle aree di ricerca di Wang è attualmente focalizzata sullo studio di come contrastare questi attacchi. Presenterà un documento sulle sue recenti scoperte al 27° Simposio annuale sulla sicurezza USENIX a Baltimora, Maryland, in agosto.

Gli attacchi di phishing hanno coinvolto quasi la metà degli oltre 2, 000 violazioni della sicurezza confermate segnalate da Verizon negli ultimi due anni. Queste violazioni causano la perdita di miliardi di record e la correzione costa milioni di dollari a seconda del settore interessato e della sua posizione geografica.

spoofing, dove l'attaccante impersona un'entità attendibile, è un passaggio fondamentale nell'esecuzione di attacchi di phishing. Il sistema di posta elettronica di oggi non dispone di alcun meccanismo per prevenire completamente lo spoofing.

"Il sistema SMTP che usiamo oggi è stato progettato senza pensare alla sicurezza, " ha detto Wang. "Questo è qualcosa che ha afflitto il sistema sin dal suo inizio."

Sono state messe in atto misure di sicurezza per proteggersi dagli attacchi di spoofing a posteriori e si affidano ai provider di posta elettronica per implementare strategie utilizzando le estensioni SMTP, come SPF (sender policy framework), DKIM (Posta identificata con chiavi di dominio), e DMARC (autenticazione dei messaggi basata sul dominio), per autenticare il mittente. Le misurazioni condotte dal team di ricerca nel 2018 indicano che tra i primi 1 milione di domini di Alexa, il 45% ha SPF, il 5% ha DMARC, e ancora meno sono configurati correttamente o rigorosamente.

Per lo studio, la metodologia dei team di ricerca era incentrata sulla creazione di esperimenti di spoofing end-to-end su provider di posta elettronica popolari utilizzati da miliardi di utenti. Lo hanno fatto impostando account utente sotto i servizi di posta elettronica di destinazione come destinatario della posta elettronica e utilizzando un server sperimentale per inviare e-mail contraffatte, con un falso indirizzo del mittente, al conto del destinatario.

L'indirizzo del mittente contraffatto è la chiave dello studio in quanto si tratta di una parte fondamentale del processo di autenticazione. Se il dominio contraffatto ha un SPF valido, DKIM, o registrazione DMARC, poi il ricevitore, in teoria, è in grado di rilevare lo spoofing.

Lo spoofing può essere eseguito utilizzando i contatti esistenti o lo stesso provider di posta elettronica del destinatario previsto.

A tal fine, i ricercatori hanno utilizzato cinque diversi tipi di contenuto e-mail per lo studio:un'e-mail vuota, un'e-mail vuota con un URL benigno, un'e-mail vuota con un allegato benigno, un'e-mail benigna con contenuto effettivo, e un'e-mail di phishing con contenuto che impersona il supporto tecnico per notificare e correggere una violazione della sicurezza indirizzandosi a un URL.

In totale, lo studio ha utilizzato 35 popolari servizi di posta elettronica, come Gmail, iCloud, e Outlook. I ricercatori hanno scoperto che i provider di posta elettronica tendono a favorire la consegna della posta elettronica rispetto alla sicurezza. Quando un'e-mail non riesce ad autenticarsi, la maggior parte dei provider di posta elettronica, inclusi Gmail e iCloud, ancora consegnato l'e-mail a condizione che il protocollo del dominio falsificato non lo rifiutasse.

I ricercatori hanno anche scoperto che solo sei servizi di posta elettronica hanno mostrato indicatori di sicurezza su e-mail contraffatte, compreso Gmail, protonmail, Nave, Mail.ru, 163.com, e 126.com. Solo quattro servizi di posta elettronica mostrano costantemente indicatori di sicurezza sulle proprie app di posta elettronica mobile. I fattori umani rimangono ancora un anello debole nel processo end-to-end, quindi il team di ricerca ha inquadrato lo studio per comprendere le abitudini di posta elettronica degli utenti.

Nello studio di Wang, la percentuale di clic per le persone che hanno ricevuto l'e-mail con un indicatore di sicurezza è stata del 17,9%. Senza un segnale di sicurezza, il tasso era del 26,1 per cento. Poiché non tutti coloro che hanno ricevuto un'e-mail di phishing hanno aperto l'e-mail, il team ha anche calcolato la percentuale di clic su tutti gli utenti che hanno aperto l'e-mail, con conseguente tassi più elevati del 48,9 per cento e 37,2 per cento.

Le raccomandazioni dello studio includono l'adozione di SPF, DKIM, e DMARC per autenticare le email, e se un'e-mail viene consegnata a una casella di posta, i provider di posta elettronica dovrebbero posizionare un indicatore di sicurezza, come il punto interrogativo rosso di Google sull'email, per avvertire gli utenti dei potenziali rischi.

Il team ha anche raccomandato la coerenza tra i provider di posta elettronica per le diverse interfacce. Attualmente gli utenti mobili sono esposti a un livello di rischio più elevato a causa della mancanza di indicatori di sicurezza. E infine, lo studio ha raccomandato che elementi fuorvianti, come una "foto del profilo" e un'e-mail "cronologia, " essere disabilitato su e-mail sospette.

Con così tante email che vengono consegnate ogni giorno, è sorprendente che non ci siano campagne di phishing di maggior successo.

"Basta davvero solo un'e-mail per causare una violazione della sicurezza, " ha detto Wang.