• HOME
  • Blog
  • Cresce il phishing nelle settimane dell’emergenza: best practice e autenticazioni per difendersi
Alberto Miscia
20 Ottobre 2020
Tempo di lettura: 7 min.

Cresce il phishing nelle settimane dell’emergenza: best practice e autenticazioni per difendersi

Perché aumentano i tentativi di abuso? Perché i destinatari sono più vulnerabili. Vediamo gli accorgimenti che le aziende possono prendere e i vantaggi dei sistemi DKIM, DMARC e – in futuro – BIMI.

I momenti difficili sono sempre quelli più sfruttati dai criminali informatici per cercare di veicolare le loro truffe, che si tratti di phishingscam o altri generi di abuso. Le settimane che stiamo vivendo non fanno eccezione, anzi.

Su che basi poggia questo “slancio” dei criminali informatici? Sulla speranza che in settimane del genere qualche filtro di ricezione sia allentato – ipotesi che non ha alcun reale riscontro – e che i destinatari siano più vulnerabili e inclini a partecipare attivamente alle comunicazioni che ricevono nella propria inbox.

Un’ipotesi, quest’ultima, che invece è fondata, come dimostrato nel nostro precedente blog post, dove registravamo nelle settimane di marzo tassi di apertura e clic nettamente superiori alle medie del resto dell’anno.

Da sempre conduciamo la nostra lotta a ogni genere di abuso tramite posta elettronica, contribuendo alla discussione e facendo tutto quello che è in nostro possesso per impedire la diffusione di comunicazioni fraudolente. Oggi vogliamo darti un’idea più precisa di come si presentano i tentativi di phishing e fornirti alcune indicazioni su come levare gli scudi contro i crimini informatici.

Nel corso degli anni MailUp ha costruito solide relazioni con ISP e blacklist di tutto il mondo, con i quali la condivisione di informazioni su policy, pratiche e problematiche è costante. Il sostegno di chiunque intenda aiutare MailUp a fornire un miglior servizio o a collaborare è il benvenuto, ed è invitato a scrivere all’indirizzo abuse@mailup.com.

256x218
Al tuo fianco per crescere, ogni giorno

Dallo sviluppo di integrazioni al supporto strategico, dalla creazione di concept creativi all’ottimizzazione dei risultati.

Alcuni casi di phishing segnalati in questa emergenza

Anche se non passati tramite l’infrastruttura MailUp, siamo a conoscenza di numerosi tentativi di abuso. Possono essere raggruppati in due macrocategorie:

1. Tentativi di phishing camuffati da comunicazioni istituzionali. In questo post trovi diversi esempi.

phishing

2. Malware veicolati tramite un sito simile alla mappa di infezioni pubblicata dalla Johns Hopkins University.

phishing coronavirus

La situazione generale è ben riassunta da questo blog post degli amici di SpamHaus.

Alcune best practice per difendersi dal phishing

Pur con la consapevolezza che non vi possono essere soluzioni definitive al phishing, vediamo le best practice per scoraggiare (se non prevenire) questo tipo di problematiche:

  1. Cerca sempre di rendere riconoscibile la tua brand identity nei messaggi che invii. Sembra banale ma non lo è: chi fa phishing, anche se cercherà di replicare il tuo logo, non riesce mai a copiare al 100% tutti i dettagli che fanno parte della tua identità digitale
  2. Non usare “lookalike” o “cousin” domain nelle tue comunicazioni ufficiali. Se i destinatari si possono aspettare comunicazioni da domini come “brandname-email.com”, potrebbero erroneamente considerare come legittimi domini che non lo sono (per esempio “brand-name-email.com” o ancora “brandname-mail.com”). Usa sempre il tuo dominio e, se vuoi differenziare i flussi, adotta sottodomini (email.brandname.com) come indicato nelle best practice pubblicate dal M3AAWG
  3. Sii consapevole di quale dominio viene utilizzato nella signature DKIM e, se possibile, cerca di allineare anche questo dominio con quello che usi come mittente
  4. Pubblica una policy DMARC adeguata (quarantine / reject) in modo da salvaguardare la reputazione dei tuoi domini. I malintenzionati continueranno a usare domini simili, ma in questo modo ridurranno sensibilmente la possibilità di ingannare i destinatari e, in futuro, sarai pronto a utilizzare nel migliore dei modi le novità dell’ecosistema dell’Email Marketing (BIMI, ad esempio).

Ti staichiedendo cosa significano le sigle DKIM, DMARC, BIMI? Facciamo un po’ diordine e di chiarezza.

Le autenticazioni: cosa sono e a cosa servono

DKIM

DKIM (acronimo di DomainKeys Identified Mail) è un sistema di autenticazione delle email che consente a chi riceve le email di poter verificare che il messaggio non sia stato alterato, almeno nei suoi campi fondamentali, dal momento dell’invio a quello della ricezione, aggiungendo una firma criptata alle email.

Nello specifico, la nostra chiave pubblica DKIM va aggiunta alle impostazioni del tuo dominio web e una specifica firma viene aggiunta a tutte le email che inviamo per te.
Questa firma viene criptata sulla base di alcuni elementi di ogni email inviata e perciò è unica per ogni email. Quando il server di posta ricevente analizza la tua email, decritterà la firma usando la chiave pubblica menzionata in precedenza e genererà una nuova stringa di hash basata sugli stessi elementi. Se la firma decrittata combacia con la nuova stringa di hash, la mail verrà considerata autenticata con DKIM. Un esempio di firma DKIM è il seguente:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=transactional; d=mailup.com;
h=From:To:Date:Subject:MIME-Version:Content-Type:List-Id:List-Unsubscribe:Message-ID; i=news-it@mailup.com;
bh=eFMbGLxi/7mcdDRUg+V0yHUTmA1F4EXExVBQxIxBr2I=;
b=ra3pGFHHvCr9OZsm9vnOid……..Yj00/+nTKs=

Se il messaggio ha una firma valida (non manipolato), il dominio firmatario – identificato dal d=tag – comunicherà chi sei ai ricevitori, i quali gestiranno la posta di conseguenza. Nel tempo i sistemi di valutazione della reputazione dei principali Mailbox Provider hanno sempre di più dato peso a questo identificativo rispetto ad altri (IP) e ad oggi alcuni provider (come ad esempio Gmail) permettono di monitorare la reputazione in funzione di questo identificatore ed è sostanzialmente diventato un elemento obbligatorio per il recapito delle comunicazioni.

La configurazione del DKIM avviene mediante configurazione di record DNS, non è una operazione molto complessa ma, essendo appunto obbligatorio avere una firma DKIM, è impensabile avere come standard una firma personalizzata per tutti i clienti.

Per questo motivo tutti i principali ESP utilizzano una o più firme dei loro domini di servizio. Questo permette di essere conformi alle best practice ma crea una sorta di “reputazione condivisa” tra tutti i clienti di quel cluster che potrebbe non essere ottimale in certi casi (specialmente se ci sono clienti che hanno volumi molto maggiori di altri o performance inferiori).

Per questo motivo la piattaforma MailUp offre la possibilità di utilizzare il proprio dominio come firma DKIM. Per tutti i clienti che hanno bisogno di maggiori informazioni o necessitano di aiuto nella configurazione dei record DKIM noi siamo a disposizione con la nostra consulenza deliverability.

Proteggi i tuoi invii
Non sei ancora cliente di MailUp? Contattaci

DMARC

In poche parole, il DMARC consente al proprietario di un dominio, che è anche il mittente di messaggi email, di chiedere ai provider di posta elettronica di non consegnare messaggi non autorizzati che sembrano provenire dal proprio dominio. Come avrai intuito, si tratta di un meccanismo utile per prevenire attacchi di phishing e spoofing.

Da un punto di vista tecnico, il DMARC (Domain-based Message Authentication, Reporting & Conformance) è un sistema basato sulle autenticazioni DKIM e SPF che aiuta i server di ricezione (ad es. Gmail, Yahoo, Libero) a sapere cosa fare quando un messaggio non può essere autenticato. Per farlo, consente al mittente di un’email di pubblicare una “policy” per dare istruzioni ai server di ricezione su come gestire eventuali problemi di autenticazione. Inoltre, il DMARC fornisce un meccanismo di reporting per le azioni fatte, basate sulla policy. In questo modo coordina i risultati del DKIM e dell’SPF e specifica in quali circostanze l’indirizzo email mittente, che spesso è visibile al destinatario finale, può essere considerato legittimo.

Gli istituti finanziari e altre aziende soggette ad attacchi di phishing e spoofing possono proteggersi al meglio implementando una policy DMARC.

Configurare erroneamente un record DMARC può avere un effetto sostanzialmente negativo per la deliverability, non solo per le email inviate tramite noi ma per tutte le comunicazioni inviate dal dominio con DMARC abilitato (es. mail di dipendenti verso l’esterno). Perciò ti raccomandiamo di consultare un esperto di deliverability per implementare correttamente una policy DMARC.

BIMI

BIMI (Brand Indicators for Message Identification) rappresenta il futuro prossimo dell’Email Marketing.

Al momento adottato solo da Verizon Media Group (Yahoo! & AOL per intenderci) ma con un committment da parte anche di Google, BIMI è uno standard indipendente dal fornitore che consente ai brand di visualizzare il proprio loo verificato nella inbox del destinatario nel caso di email totalmente autenticate (DMARC).

L’intento di BIMI è quello di incentivare i principali brand ad adottare un’adeguata autenticazione email, in particolare DMARC, quando inviano messaggi di massa ai consumatori. I mittenti che si impegnano a implementare DMARC vengono premiati con la visualizzazione del loro logo, aiuta il riconoscimento e contribuisce ad aumentare la fiducia.

Per concludere

Il nostro consiglio, come avrai capito, è di prendere in mano la situazione con il giusto anticipo. Si tratta di una serie di implementazioni che – ne siamo sicuri – faranno vedere i propri frutti, in termini di protezione da abusi e di qualità di invio.

Perché inviare non basta. Spam, database non aggiornati, impostazioni sbagliate possono ridurre il tasso di recapito e danneggiare la reputazione del tuo brand. Per proteggerti dai rischi puoi contare sui servizi di Deliverability Suite: grazie a configurazioni personalizzate e monitoraggio costante, la tua deliverability sarà sempre al sicuro.

delivery suite deliverability

Share this article

80x80
Alberto Miscia

Lavoro nel settore dell'email marketing da più di 10 anni. Amo i numeri, riuscire a capire quello che "dicono" e - ancora di più - quello che "non dicono". Questo ha fatto si che il mio sviluppo naturale sia stato nel campo della Email Deliverability, un territorio dove le certezze sono poche e l'unica è che che l'email arriva a destinazione se il destinatario la vuole ricevere e la ritiene rilevante. Il mio ambizioso obiettivo è far in modo che siano sempre di più i destinatari che vogliono ricevere le email inviate dai clienti MailUp e che tali destinatari le ricevano in inbox.

    Ricevi aggiornamenti e novità con la nostra newsletter!