Scusi, ho sbagliato email

Due ricercatori di sicurezza del Godai Group sono riusciti a rubare circa 20 GB di dati intercettando oltre 120.000 messaggi di posta elettronica inviati dal 30% delle aziende che figurano nella classifica Fortune 500. Le informazioni riservate sono state sottratte per colpa di impiegati che hanno sbagliato a digitare l’indirizzo email del destinatario.

Peter Kim e Garrett Gee hanno creato siti web con domini simili a quelle delle aziende colpite e utilizzato una tecnica nota come “typosquatting“. Mettere in pratica il furto di dati è molto semplice e può avere conseguenze devastanti per le organizzazioni. Le email infatti possono contenere password, nomi utente e segreti industriali, informazioni che sul mercato nero potrebbero fruttare milioni di dollari. I ricercatori hanno scoperto che sono già stati registrati diversi “doppelganger domain” in Cina.

Il problema risiede nel modo in cui sono configurati i mail server delle aziende. Un gruppo bancario, ad esempio, usa il dominio bank.com per indicare la sede centrale, ma diversi sottodomini per le singole divisioni o per le sedi estere. Un sottodominio potrebbe essere it.bank.com ed è quello utilizzato per lo scambio di email con la sede italiana. Se un impiegato poco attento invia un messaggio all’indirizzo itbank.com (senza il punto tra it e bank), il destinatario che ha registrato questo dominio riceverà tutta la corrispondenza riservata dell’azienda.

Il typosquatting è una tecnica passiva, in quanto le email non ricevono risposta e dunque l’errore può essere evitato in futuro. Esiste però la possibilità di realizzare un attacco “man-in-the-middle“: il malintenzionato intercetta lo scambio di email sia in ingresso che in uscita ed invia una risposta al giusto indirizzo del mittente, il quale quindi non si accorge di nulla.