SMTP smuggling: cos'è e come difendersi
Tra le più recenti minacce informatiche, sta prendendo piede quella del SMTP smuggling. Infatti, quando si parla di sicurezza informatica, purtroppo, alle vecchie minacce se ne aggiungono frequentemente anche di nuove. Inoltre, anche gli attacchi ormai ben noti, purtroppo, spesso si evolvono.
È dunque necessario aggiornarsi costantemente per evitare problemi di vulnerabilità.
Ma in cosa consiste il contrabbando di SMTP, che recentemente sta minacciando gli utenti del web?
In questa guida ne approfondiremo i dettagli, per scoprire come riconoscere questo tipo di attacco e come difendersi.
Cosa significa protocollo SMTP (Simple Mail Transfer Protocol)
I dettagli del SMTP smuggling, però, possono essere compresi solo dopo aver compreso cos’è il Simple Mail Transfert Protocol. Conosciuto con il suo acronimo SMTP, si tratta di un protocollo di rete TCP/IP. Serve per trasferire e-mail, o tra computer, ma anche tra server diversi.
In sostanza, è il protocollo standard utilizzato per l’invio delle e-mail attraverso Internet. Segue un modello client-server: il client (Outlook, Gmail o altro) invia la richiesta, mentre il server SMTP la riceve e smista il messaggio alla sua destinazione.
Il processo è piuttosto semplice, ma dietro le quinte avvengono varie fasi di comunicazione e verifica che garantiscono la corretta trasmissione del messaggio.
Purtroppo, questo sistema si è rivelato, negli anni, abbastanza limitato. E i limiti dell’SMTP hanno generato minacce quali lo spoofing.
Per tale ragione, col tempo, sono state implementate diverse misure di sicurezza. Tra queste il Domain Key Identified Mail, che prevede l’uso di una chiave privata memorizzata sul server del mittente per firmare digitalmente le e-mail in uscita, e il Sender Policy Framework che, invece, utilizza record DNS per indicare ai server quali indirizzi IP sono autorizzati a inviare e-mail.
Il funzionamento del server SMTP
Per comprendere ancora più in dettaglio SMTP smuggling è necessario analizzare il funzionamento del server SMTP.
Questo server email serve per inviare e per ricevere le email, utilizzando il protocollo SMTP.
La connessione dei client e-mail avviene direttamente sul server SMTP del provider scelto: in questo modo si possono inviare messaggi di posta elettronica. Il server, inoltre, basa il suo funzionamento sull’attivazione di diversi software. MSA, o Mail Submission Agent, è il software deputato alla ricezione dei messaggi di posta elettronica.
Per il trasferimento delle e-mail nel server successivo interviene il software MTA, ossia Mail Transfert Agent. Infine, MDA o Agente di recapito della posta è il software deputato alla ricezione delle e-mail da parte del destinatario.
SMTP smuggling: cos’è
Uno dei limiti dell’uso del sistema SMTP è, per l’appunto, SMTP smuggling, o contrabbando di SMTP.
Si tratta di un attacco informatico che si basa sulla falsificazione degli indirizzi e-mail. In questo modo, messaggi malevoli vengono mascherati e sembrano provenire da indirizzi e-mail legittimi. In realtà, però, l’e-mail proviene da fonte malevola.
Possiamo quindi indicare un attacco SMTP smuggling come una forma evoluta di phishing. Mediante la falsificazione dell’indirizzo e-mail, il ricevente crede che il destinatario sia legittimo. In questo modo, viene indotto a scaricare allegati o a compiere azioni dannose, come fare clic su link malevoli. O, peggio ancora, viene indotto a fornire dati sensibili o a inviare pagamenti.
In sostanza, sfruttando i cosiddetti difetti zero-day dei server, i cybercriminali inseriscono comandi nella parte finale delle e-mail. In questo modo, si inviano da indirizzi leciti dei messaggi che, di lecito, hanno ben poco. Questo attacco non è limitato alle e-mail in entrata, dato che può essere applicato anche alle comunicazioni in uscita.
Contrabbando di SMTP: come funziona
SMTP smuggling basa il suo funzionamento sulle differenze che intercorrono nell’elaborazione delle e-mail tra server in uscita e server in entrata. I due server elaborano infatti il codice in maniera differente.
Il contrabbando di SMTP sfrutta proprio queste differenze per mettere in atto l’attacco informatico. Di fatto, gli hacker riescono a raggirare il server in entrata. Quest’ultimo, per errore, interpreta in maniera errata i comandi SMTP. Quindi, in sostanza, il contrabbando di SMTP sfrutta le vulnerabilità del protocollo SMTP.
L’attacco si basa con un semplice codice, un comando ambiguo che gli hacker usano per compromettere le e-mail.
Di solito, i server SMTP concludono i messaggi con uno specifico codice. L’attacco si basa sulla modifica di questo codice e, grazie alla manomissione, i cybercriminali alterano la conclusione dell’e-mail.
L’alterazione permette agli hacker di inserire codice aggiuntivo. In questo modo, è possibile modificare le e-mail e condurre campagne di phishing.
SMTP smuggling: come difendersi
Spesso le imprese sono portate a sottovalutare la minaccia rappresentata dall’SMTP smuggling. Eppure, di solito, questa minaccia si rivolge proprio alle aziende.
In particolare, sono le piccole e medie imprese a essere frequentemente prese di mira. Questo perché le PMI difficilmente investono un budget consistente per la sicurezza informatica.
È proprio per tale ragione che gli hacker, spesso e volentieri, rivolgono i propri attacchi proprio alle aziende di piccole e medie dimensioni. Eppure, difendersi dal contrabbando di SMTP non è difficile. Innanzitutto, è bene investire nella formazione, soprattutto quella del personale. I dipendenti devono essere consapevoli, non solo per quanto concerne SMTP smuggling ma, in generale, dei vari attacchi informatici.
È poi necessario investire nella sicurezza, dotandosi di software antimalware e di soluzioni per l’autenticazione a più fattori. Inoltre, anche l’implementazione di sistemi di monitoraggio delle email può essere d’aiuto. Da ricordare, infine, che i maggiori produttori di server, quali ad esempio Sendmail e Exim, forniscono soluzioni di difesa idonee. Per evitare le minacce, quindi, le PMI possono investire in un server e-mail adeguato e sicuro.
Per gli utenti privati, invece, è possibile difendersi dagli attacchi che sfruttato SMTP smuggling seguendo le linee guida anti-phishing e anti-spoofing.
In caso di dubbi, è opportuno evitare di fare clic su link ricevuti per email. Allo stesso modo, anche eventuali allegati non dovrebbero essere scaricati e/o aperti sul proprio dispositivo.
