Creato nel 2012 dai principali operatori di posta elettronica, DMARC (“Domain-based Message Authentication, Reporting and Conformance”) è un protocollo che impedisce agli hacker di spacciarsi per un altro utente. Agisce, più precisamente, sul nome di dominio di un’organizzazione.
Il sistema DMARC identifica le e-mail di phishing o i messaggi inviati da soggetti che utilizzano illegalmente il nome di dominio di un'organizzazione. Autentica le e-mail. Con DMARC, il mittente proprietario del nome di dominio viene informato dell'esito positivo o negativo dell'autenticazione di un'e-mail. Una volta informato, può intervenire se il suo nome di dominio viene usurpato da una terza parte non autorizzata a utilizzarlo.
Questo protocollo consente quindi di ridurre l'uso improprio di spam e e-mail di phishing. In particolare, quando si tratta di un tipo di frode tramite phishing: l'usurpazione del nome di dominio. Adottando la soluzione DMARC, ogni mittente protegge così dipendenti, clienti e partner dai criminali informatici che inviano e-mail a loro nome.
Che cos'è un nome di dominio?
Un indirizzo Internet è l'equivalente dell'indirizzo postale di un'organizzazione sul web. Consente a contatti e clienti di trovare un sito web. Un nome di dominio è parte integrante dell'indirizzo Internet, detto «URL» (Uniform Resource Locator, in italiano «localizzatore uniforme di risorse»). Esso è composto da una stringa di caratteri e da un'estensione (.fr, .com, .org). In Francia, l'AFNIC è il gestore storico del dominio .fr.
Ad esempio, nell'indirizzo Internet “www.avantdecliquer.com”, hucency.com/ è il nome di dominio.
L'acquisto e la registrazione di un nome di dominio avvengono tramite un registrar.
Per un maggiore livello di professionalità, quando un'organizzazione possiede un nome di dominio, può creare indirizzi e-mail del tipo «prenom.nom@nom-de-domaine.com». Nel nostro esempio: prenom.nom@avantdecliquer.com.
Che cos'è il phishing?
Il phishing è una tecnica di frode via e-mail molto diffusa. Utilizzata dagli hacker per infiltrarsi nel sistema informatico di un’organizzazione, ha lo scopo di sottrarre dati personali e/o professionali.
Il phishing e lo spear phishing rimangono in testa alla classifica degli attacchi informatici più diffusi (fonti: CESIN e Cybermalveillance.gouv.fr):
- 1 utente su 3 apre un'e-mail di phishing.
- Il 79% delle organizzazioni francesi ha dichiarato di essere stato vittima di un tentativo di phishing.
In tutto il mondo, questo tipo di frode rappresenta la minaccia principale. I danni finanziari, organizzativi e alla reputazione possono rivelarsi drammatici.
Le conseguenze del clic su un link dannoso o su un allegato fraudolento sono molteplici: furto di dati, malware (virus, ransomware, ecc.).
Lo spear phishing consiste invece nel mettere in atto lo stesso tipo di frode individuando un bersaglio specifico.
Phishing e furto di nomi di dominio
L'invio di e-mail fraudolente spacciandosi per un terzo sta diventando un atto di cybercriminalità sempre più diffuso. Per un hacker esperto, usurpare il campo "Da" ("from") di un'e-mail è un "gioco da ragazzi". Questa frode è denominata "cybersquatting". Consiste nel registrare nomi di dominio identici o simili ai nomi di dominio ufficiali delle organizzazioni mittenti delle e-mail.
L'obiettivo dell'hacker è quello di violare i diritti del titolare per approfittare della sua identità o per causargli un danno.
Ad esempio:
Nel giugno 2020, ad esempio, la FNAC è stata vittima di una campagna di phishing volta a usurpare la sua identità. La catena ha avvertito i propri clienti del rischio di phishing, precisando che «queste e-mail riportano conferme di ordini fittizi, utilizzando la grafica e il logo della nostra catena».
Nell'aprile 2020, una grave vulnerabilità individuata in Gmail ha permesso agli hacker di assumere l'identità di qualsiasi utente.
Oppure, nel 2016, il caso di Vinci, vittima di un furto d’identità via e-mail che ha provocato il crollo del suo titolo in borsa.
In che modo DMARC combatte il phishing?
DMARC migliora la deliverability delle e-mail dei mittenti. Infatti, il mittente, in quanto proprietario del nome di dominio, può richiedere che i messaggi non autorizzati vengano automaticamente indirizzati alla cartella “posta indesiderata” (o “spam”) della casella di posta del destinatario. Può inoltre richiedere il rifiuto diretto da parte del server di ricezione (cancellazione diretta dal server di posta).
Di conseguenza, lo spam e soprattutto le e-mail di phishing vengono automaticamente esclusi dalla casella di posta in arrivo degli utenti.
Come funziona DMARC?
DMARC funziona combinando altri due protocolli:
- SPF (Sender Policy Framework): questo protocollo consente a un'organizzazione di trasmettere ai propri fornitori di servizi digitali l'elenco dei server autorizzati a inviare e-mail utilizzando il proprio nome di dominio.
- DKIM (Domain Keys Identified Mail): questo protocollo aggiunge sistematicamente una firma digitale alle e-mail inviate da un'organizzazione. La presenza di questa firma DKIM garantisce l'integrità dell'e-mail durante il suo trasporto.
Questi due protocolli sono complementari e, qualora uno dei due non venga rispettato, DMARC suggerisce un’azione da intraprendere in caso di sospetto attacco.
Tre protocolli (SPF, DKIM e DMARC) autenticano quindi la provenienza di un'e-mail.
DMARC è la soluzione al phishing?
DMARC offre una protezione efficace contro l'usurpazione delle e-mail, nota anche come «business email compromise».
Sebbene sia molto efficace, la sua implementazione rimane tuttavia piuttosto complessa per la maggior parte delle organizzazioni.
Inoltre, non rappresenta l'unica soluzione al problema del phishing, poiché combatte solo un tipo di phishing: l'usurpazione del nome di dominio.
Come ogni soluzione di sicurezza informatica, è proprio la sua integrazione con altre soluzioni tecniche (filtro antispam, firewall…) e organizzative (sensibilizzazione alla sicurezza informatica, formazione degli utenti su come evitare le trappole del phishing) a renderla un ulteriore punto di forza nella lotta contro il phishing.
