Nel 2025, i criminali informatici non si limitano ad aggirare le difese tradizionali, ma le trasformano in armi.
Una nuova ondata di attacchi di phishing sta abusando di servizi affidabili come Google per eludere anche le caselle di posta elettronica più sicure. Questi messaggi spesso superano i controlli SPF, DKIM e DMARC. Provengono da domini legittimi. Hanno il rassicurante segno di spunta verde in Google Workspace. Eppure, sono dannosi.
Il problema? L'autenticazione via e-mail non controlla il comportamento.
| Livello di sicurezza | Categoria | Scopo | Cosa protegge |
|---|---|---|---|
| SPF (Sender Policy Framework) | Autenticazione | Convalida l'IP del server di invio | Impedisce lo spoofing dei server di invio |
| DKIM (DomainKeys Identified Mail) | Autenticazione | Assicura l'integrità del messaggio | Protegge il messaggio da manomissioni |
| DMARC (applicazione dei criteri) | Autenticazione | Allinea SPF/DKIM con il mittente visibile | Impedisce l'uso non autorizzato del dominio Da:. |
| Protezione contro lo spoofing del marchio | Fiducia zero/contenuto | Rileva l'impersonificazione di marchi, non solo di domini | Impedisce il phishing visivo con un design ingannevole |
| Analisi di URL e pagine | Fiducia zero/Comportamento | Analizza i link incorporati e le pagine di destinazione | Rileva le trappole del phishing e delle credenziali |
| Sandbox ed emulazione del comportamentoMetaDefender Sandbox) | Fiducia zero/Comportamento | Osserva il comportamento dinamico di link, file e moduli. | Rileva intenzioni, malware e CIO, anche nei domini affidabili. |
Per tenere il passo, i team di sicurezza aziendali hanno bisogno di qualcosa di più dei segnali basati sulla fiducia. Hanno bisogno di un rilevamento basato sul comportamento. Ed è qui che OPSWAT MetaDefender Sandbox entra in gioco.
Firmato, sigillato e compromesso: La scappatoia della riproduzione DKIM
Una tattica emergente è l'attacco replay DKIM, in cui un aggressore riutilizza l'intestazione di un'e-mail legittimamente firmata, ma aggiunge contenuti dannosi oltre la parte firmata.
Ecco come funziona:
- DKIM utilizza una firma per verificare che una parte del messaggio non sia stata alterata.
- Se invece si utilizza il tag l= (lunghezza), viene firmata solo una parte del messaggio.
- Un utente malintenzionato può inserire contenuti dannosi dopo la parte firmata, lasciando completamente intatto il controllo DKIM.
- Il DMARC passa, perché dipende da SPF o DKIM per convalidare la fonte.
Il risultato? Un messaggio perfettamente autenticato che trasmette contenuti di phishing.
Abuso di phishing OAuth: Dirottare la fiducia dall'interno di Google Alerts
Un'altra tendenza preoccupante è l'abuso dell'infrastruttura OAuth di Google.
Gli attaccanti sono:
- Creazione di false app OAuth denominate "Google Security Update" o "Account Review Required".
- Invio di avvisi di sicurezza firmati da Google per notificare agli utenti la presenza di queste app.
- L'inserimento di link di phishing in questi avvisi è supportato dai domini legittimi di Google che non rispondono.
L'intera esca di phishing appare in un formato a marchio Google, utilizzando avvisi filtrati e la reputazione del dominio per disarmare gli utenti. Non si tratta di uno spoofing: è ospitato da Google.
Il segno di spunta verde non è sufficiente
È un falso senso di sicurezza. Un messaggio che supera SPF, DKIM e DMARC potrebbe ancora:
- Contengono pagine di raccolta delle credenziali
- Utilizzare i trucchi dell'interfaccia utente per nascondere i campi di login
- Sfruttare gli spazi bianchi per ritardare i payload dannosi
- Ospitare false pagine di login di Microsoft o Google su infrastrutture legittime (ad esempio, sites.google.com).
L'autenticazione delle e-mail convalida solo la provenienza del messaggio, non il suo contenuto.
MetaDefender Sandbox: Un livello critico di difesa per il comportamento delle e-mail
MetaDefender Sandbox diOPSWAT aggiunge una visibilità fondamentale. Invece di affidarsi alle firme o alla convalida del mittente, la sandbox emula il comportamento delle e-mail:
- Dynamic Link Inspection: segue i link incorporati in un ambiente sicuro per valutare il comportamento della pagina in tempo reale.
- Analisi dell'interfaccia utente e del layout - Identifica le schermate di login false, i campi nascosti e le trappole per le credenziali.
- Rilevamento dei flussi di phishing - Rileva i reindirizzamenti, l'invio di moduli e gli endpoint controllati dagli aggressori.
Poiché non si fida delle e-mail per impostazione predefinita, MetaDefender Sandbox rileva ciò che le soluzioni basate sull'autenticazione non rilevano. Anche le e-mail firmate, autenticate e con il "bollino verde" possono essere utilizzate come armi. MetaDefender smaschera il vero intento.
Cosa devono fare ora le imprese
Il phishing si sta evolvendo. Anche le vostre difese devono farlo. Ecco come fare per essere all'avanguardia:
- Adottare la Email Security a fiducia zero - Non affidatevi esclusivamente alle intestazioni e ai metadati. Ispezionate il contenuto e il comportamento delle e-mail.
- Aggiungi Sandboxing basato sul comportamento - Migliora il tuo stack di rilevamento con l'analisi dinamica di link, moduli e payload.
- Avvisi e e-mail di sistemaSecure - OAuth e l'abuso di domini rendono anche le e-mail di avviso un potenziale vettore di minacce.
Ispezionare ciò che l'autenticazione da sola non può vedere
Scopri come OPSWAT MetaDefender Sandbox rileva il phishing avanzato, anche da fonti "affidabili" come gli avvisi di Google. Parlate con un esperto oggi stesso e scoprite come potete mettere la nostra sandbox avanzata in prima linea nella vostra strategia di sicurezza delle e-mail.
