Il termine “spoof” riguarda la falsificazione di un’identità: di una persona, di un’applicazione o di un dispositivo. E basta una semplice ricerca online per accorgersi di quanto lo spoofing possa essere molesto, tra conti correnti svuotati con l’inconsapevole complicità delle vittime e istituti bancari condannati a risarcirle – anche solo parzialmente – se le difese messe in atto non sono giudicate sufficienti. L’articolo 10 del decreto legislativo 11/2010, ripreso nel decreto legislativo 218/2017, stabilisce che, se il cliente di un intermediario (in questo caso un istituto di credito) nega di aver disposto un’operazione, tocca al prestatore di servizi di pagamento l’onere di dimostrare che l’autenticazione sia avvenuta in maniera corretta.
Le vie dello spoofing sono diverse e gli hacker usano come veicoli email, telefonate o sms che si presume provengano da persone note alla vittima e, invece, contengono o costituiscono una minaccia.
I tipi di spoofing sono molti e qui, al posto di concentrarci sulle tecniche usate dagli hacker, ci soffermiamo sulle difese che possono essere adottate dalle aziende.
Cos’è lo spoofing
Rientrano nello spoofing un’ampia serie di tecniche mediante le quali un hacker riesce a entrare in possesso di username e password altrui per trarne profitto. Nella stessa categoria rientrano anche le falsificazioni degli indirizzi Ip e l’invio di file nocivi che vengono camuffati affinché non sembrino minacce. Il termine spoofing ha molte derivazioni tant’è che, da ormai un decennio, gli hacker si affidano anche a quello che viene denominato “Caller Id spoofing”, ossia riescono a telefonare alla vittima designata facendo apparire sul display del suo telefono un numero di chiamata che sembra legittimo. Così, per esempio, la vittima può credere di parlare con un impiegato della banca presso la quale ha aperto un conto corrente, mentre la telefonata viene da tutt’altra parte ed è stata fatta da un criminale.
Esempi di spoofing
Uno dei casi più celebri risale al 2018, quando la piattaforma di hosting di progetti software GitHub è stata messa in ginocchio da quello, che rimane nella memoria, come uno dei più imponenti attacchi DDoS.
Ci sono anche esempi più eclatanti. Nel 2015 l’Europol ha sventato un attacco continentale mediante il quale, un gruppo di hacker, stava intercettando le richieste di pagamento tra alcune aziende e i rispettivi clienti, tentando di dirottare i bonifici su conti correnti ai quali avevano accesso.
La lista degli attacchi di questo tipo è lunga, va però considerato che l’utente diventa un mezzo per penetrare in un’organizzazione, tipicamente un istituto di credito. Attingendo dall’attualità, non sono rari i casi in cui un finto dipendente di una banca (che in realtà è un hacker) convince la propria vittima a fare operazioni sul proprio conto bancario – di norma in seguito a un evento “improvviso e tanto grave” da comportare il blocco del conto stesso – ottenendo così le credenziali di accesso e i codici necessari per mettere a segno un furto, riuscendo a distogliere e dirottare fondi.
Come rimediare al DNS spoofing
Una delle tecniche più utilizzate è il DNS spoofing, che si basa su più azioni in sequenza. Per valutare le difese attuabili ci siamo avvalsi del parere di Marco Ramilli, fondatore e ceo di Yoroi, azienda di sicurezza con sedi su tutto il territorio italiano. “Uno dei principali metodi per contrastare il fenomeno è quello di assicurarsi che il server di nomi di riferimento sia autenticato oppure che non cambi soventemente. Di fatto esistono alcune tecniche (di tipologia Man in the Middle) che permettono all’attaccante di sostituire il server di risposta con uno proprio oppure di anticipare una risposta del DNS server autoritario con una risposta appositamente realizzata”.
Spieghiamo quei termini che possono risultare poco chiari ai meno avvezzi: un attacco Man in the Middle avviene alterando la comunicazione di agenti che credono di comunicare direttamente tra loro. Così, declinando questa definizione al DNS spoofing, un cybercriminale può deviare le richieste di accesso a un sito verso un altro fasullo, in modo da acquisire i dati sensibili degli utenti, tipicamente credenziali e codici di accesso. Il DNS è un servizio che traduce gli indirizzi web in indirizzi Ip (per esempio google.com in 14.251.163.101) e chi riesce a modificarli può instradare gli utenti dove desidera.
Per affrontare questo problema, spiega Ramilli, esistono diverse tecniche, una di queste è il DNSSec, che provvede a certificare ogni record del DNS: “Questo sistema risolve il problema del DNS spoofing ma oggi non è ancora ampiamente utilizzato, causa l’importante sforzo computazionale necessario per verificare i certificati”.
“Una valida alternativa, continua il ceo di Yoroi, sono le soluzioni DoH (DNS over HTTPS) oppure DoT (DNS over TLS). Tali protocolli sono oggi ampiamente più utilizzati se paragonati al DNSSec e fondano il loro principio sulla cifratura del traffico tra il client (ovvero chi effettua la richiesta DNS) ed il server (ovvero chi risolve, traduce la richiesta alfanumerica in protocollo Ip). Infatti, prima di avviare la richiesta DNS, il client ed il server attivano un canale sicuro HTTPS, oppure TLS. Dopo aver creato tale canale inviano la richiesta DNS per l’ottenimento degli indirizzi Ip necessari alla comunicazione. Tali sistemi sono molto efficaci sia in termini di sicurezza (evitare DNS Spoofing o Poisoning) e di privacy (evitare da parte di un terzo di sapere dove si naviga). Il principale effetto negativo di questa soluzione è la lentezza nella risoluzione. Basti pensare alla composizione della richiesta (e risposta) DNS che prima di attivarsi prevede una negoziazione (tra client e server) di un canale TLS o HTTPS”.
Il costo di simili soluzioni
Considerato il dispiego di tecnologie, verrebbe da credere che attuare simili difese abbia costi di una certa entità. Ramilli sfata questo mito: “Oggi esistono soluzioni per tutte le tasche. Da servizi gratuiti, poco configurabili dalle latenze variabili e con bassa protezione su contenuti malevoli, ma con ottima protezione riguardo attacchi DNS Spoofing, Poisoning ed Eavesdropping a soluzioni professionali con ampie possibilità di configurazione, dalle elevate prestazioni e con ampie capacità di blocco contenuti malevoli per poche decine di euro-anno per utenza. Esistono strumenti Open source che possono essere installati in azienda ma, come ogni strumento Open source, nasconde numerosi costi di manutenzione, di gestione e di aggiornamento da tenere in considerazione prima della sua adozione”.
Non è impossibile difendere un’azienda dagli attacchi spoofing ed esistono soluzioni affrontabili anche da organizzazioni medio-piccole, sia dal punto di vista finanziario sia da quello tecnologico: “Parlando di DNS Spoofing, e solo di questo, credo che utilizzare protocolli come il DoT sia uno dei principali consigli che io possa offrire. Esistono numerose piattaforme che offrono un DoT gratuito, alcune delle quali anche importanti e blasonate organizzazioni presenti in tutto il mondo. Ogni sistema operativo moderno permette la sua configurazione e numerose guide potranno aiutare il lettore nel caso di interesse”, conclude Ramilli.
