Email

Come proteggere il conto corrente con MDaemon

13 Luglio 2015

Ringraziamo Vito Pietrapertosa di PC System per averci messo a disposizione il suo materiale e il suo tempo per discutere di come si possa contrastare un attacco ai conti correnti.
Dopo aver visto un attacco vero dove sono state perse decine di migliaia di euro abbiamo fatto qualche riflessione ed è nata questa miniguida.
 
In questi mesi è in atto una vera truffa per estorcere soldi, tanti soldi, dai conti correnti delle aziende sfruttando delle tecniche avanzate di social engineering e attacchi man in the middle.
L’attacco consiste nel carpire password di caselle mail di account di operatori che svolgono funzioni amministrative all’interno delle aziende, in sostanza addetti all’ufficio acquisti, recupero crediti o pagamenti vari tramite bonifici o conti online.
Dopo aver guadagnato l’accesso alle mail, i cyber-criminali studiano le varie conversazioni circa le modalità di accredito di bonifici o modalità di pagamenti, individuano l’interlocutore target delle aziende partner e ne carpiscono le password.
Analizzano tutti i dialoghi e nel momento più opportuno, ovvero quando gli interlocutori si mettono d’accordo per l’importo da versare, inviano una mail opportunamente formattata in cui si avvisa che l’IBAN o le coordinate bancarie sono cambiate e si sollecita il pagamento su un altro conto.
Attraverso questa tecnica sono stati rubati diversi milioni di dollari in tutto il mondo e sembra che a queste organizzazioni facciano capo decine di persone. Una vera e propria azienda del cyber-crimine. Questo attacco colpisce soprattutto aziende che effettuano operazioni nell’ordine di centinaia di migliaia di euro ed hanno rapporti con ditte estere.
 
Come funziona l’attacco
Per comprendere meglio tecnicamente il tipo di attacco facciamo un semplice esempio:
l’azienda Pintel il cui dominio di posta è pintel.com si fornisce dalla azienda  Machab  il cui dominio è machab.it. L’operatore della Pintel Vichus, utilizza un account email vichus@pintel.com per comunicare con Cloud Paranai di machab.it. Cloud Paranai utilizza l’account di posta c.paranai@machab.it .
Nelle ultime email Victhus ha comunicato a Cloud che invierà la distinta del bonifico di 200.000 euro.

  1. L’hacker invia una mail, accuratamente progettata, all’indirizzo vichus@pintel.com con un allegato che contiene un virus. Tale mail ha un oggetto facilmente riconoscibile (e allettante) dall’utente per cui è invogliato ad aprine il contenuto.
  2. L’utente apre l’allegato e il PC viene infettato.Il virus permette di recuperare le password della mail. Il malware utilizzato è un generico “ransomware” che viene rilevato dall’antivirus un momento dopo la cattura delle password.
  3. L’hacker ha potuto accedere e analizzare i messaggi di posta e il loro contenuto, ha scelto alcuni fornitori, tra i quali la machab e ha selezionato alcuni indirizzi mail da attaccare. Nel nostro caso c.paranai@machab.it
  4. Con le stesse modalità di cui al punto 1 e 2, l’hacker ottiene accesso alla casella mail di c.paranai@machab.it per avere ulteriori informazioni sui dialoghi con il cliente.
  5. Viene effettuato un controllo sul dominio machab.it circa la presenza del record dns di tipo txt per la gestione dell’SPF, se il record non esiste allora registra il dominio fasullo machab-it.com
  6. Poi, nel momento opportuno, si modifica il dominio aggiungendo un record mx per poter ricevere e spedire posta, si configura la casella mail c.paranai@machab-it.com, viene inoltrata dall’account c.paranai@machab-it.com l’ultima conversazione avvenuta alla mail appena creata. Tale passaggio viene fatto per rendere più vera la mail fasulla che successivamente sarà inviata.
  7. Si inietta la mail fasulla da c.paranai@machab-it.com, spacciandola per c.paranai@machab.it a vichtus@pintel.com in cui spiega e argomenta che le coordinate bancarie sono cambiate. Utilizza un documento accuratamente formattato con l'intestazione della azienda e le motivazioni per cui il conto è stato modificato.
  8. L’utente Victhus effettua il bonifico sulle coordinate appena modificate.

 


 


Come difendersi
Esistono delle contromisure?
Attacchi mirati di questa portata sono davvero difficili da contenere per il semplice fatto che sfruttano l’errore umano. Provate a mettervi nei panni “vostri”… immaginate di ricevere una mail da un vostro cliente che vi chiede aiuto perché ha un errore sul server che vi ha allegato pdf con la schermata dell’errore.
Chi non aprirebbe la mail? Quanti si insospettirebbero? Quanti penserebbero di essere al sicuro perché l’antivirus ha bloccato il trojan?
E’ evidente che dovremmo pensare a una soluzione che deve in qualche modo contenere l’arrivo della mail fasulla perfetta.
 

Utilizzare il protocollo SPF
Se ci concentriamo sul punto 5 illustrato in precedenza possiamo comprendere che l’hacker ha sfruttato la mancanza del controllo SPF per poter inviare una mail al destinatario, utilizzando un IP diverso dal server di posta.
 
Un esempio di log che dimostra come l’assenza di SPF “facilita” il recapito di email fasulle può essere il seguente:
        Wed, 17 Jun 2015 22:42:31 -0700 (PDT)
Received-SPF: neutral (pintel.com: 1x.9.1.4 is neither permitted nor denied by best guess record for domain of c.parenai@machab.it) client-ip=1x.9.1.4;
Authentication-Results: mx.pintel.com;
       spf=neutral (google.com: 1x.9.1.4  is neither permitted nor denied by best guess record for domain of c.parenai@machab.com) smtp.mail=c.paranai@machab.com
Received: from ns3.hmmstmog.gr ([8.138.1×2.1y6]:43403)
 

L’IP 1x.9.1.4 è un indirizzo non abilitato a spedire per machab.com e la mail che è stata inviata arriva dal domino machab-it.com con mittente cambiato c.parenai@machab.com.
Come prima configurazione dobbiamo assolutamente attivare l’SPF sia a livello di controllo sul server mail sia a livello del dns, aggiungendo un record txt del tipo:

+a:smtp.machab.it +ip4:1.1.1.1 –all

Attraverso questo record, il server mail che controlla il record SPF controlla l’IP di invio con gli IP abilitati e se coincidono, allora accetta la posta.
 
Per capire come implementare in MDaemon il protocollo SPF (e altri protocolli simili) ti consigliamo alcune letture:

Cifrare le connessioni
Altro accorgimento è attivare la connessione cifrata dal client al server.
Se il trojan fa sniffing della password che passa in chiaro, possiamo contenere questo attacco semplicemente cifrando la comunicazione con SSL o TLS.
Giova ricordare che le password della posta elettronica viaggiano sempre in chiaro a meno che non si prendano espliciti provvedimenti.
 
Per capire come usare i certificati SSL all’interno di MDaemon ti consigliamo queste risorse:
 

 
Limitare l’accesso al mailserver
Abilitare i servizi mail e webmail solo dalla rete locale.
In questo modo anche se trovata la password, l’hacker non ha modo di accedere alla mail perché tenterà di accedere dal di fuori della rete locale.
Sotto un esempio di log di accesso non autorizzato da internet in cui un programma automatico scarica le mail e gli allegati e li analizza:
 
[Thu 2015-06-18 00:00:00]  —– WorldClient 14.0.0 Avvio file di registro —–
[Thu 2015-06-18 04:03:18] [XY3G3XTEYA210] Sessione creata per c.parenai@machab.it da 17c.13.x2.20.
[Thu 2015-06-18 04:03:28] [XY3G3XTEYA210] BegRequest: View=2 View=Main
[Thu 2015-06-18 04:03:29] [XY3G3XTEYA210] EndRequest: View=2 View=Main (la richiesta ha impiegato 11.176845 secondi)
[Thu 2015-06-18 04:03:30] [XY3G3XTEYA210] BegRequest: View=0 Session=XY3G3XTEYA210&View=Menu
[Thu 2015-06-18 04:03:30] [XY3G3XTEYA210] BegRequest: View=16 Session=XY3G3XTEYA210&View=List
[Thu 2015-06-18 04:03:30] [XY3G3XTEYA210] EndRequest: View=0 Session=XY3G3XTEYA210&View=Menu (la richiesta ha impiegato 0.034657 secondi)
[Thu 2015-06-18 04:03:31] [XY3G3XTEYA210] EndRequest: View=16 Session=XY3G3XTEYA210&View=List (la richiesta ha impiegato 0.653020 secondi)
[Thu 2015-06-18 04:03:44] [XY3G3XTEYA210] BegRequest: View=17 Session=XY3G3XTEYA210&View=Message&Number=53102&Page=1
[Thu 2015-06-18 04:03:44] [XY3G3XTEYA210] EndRequest: View=17 Session=XY3G3XTEYA210&View=Message&Number=53102&Page=1 (la richiesta ha impiegato 0.456009 secondi)
[Thu 2015-06-18 04:03:49] [XY3G3XTEYA210] BegRequest: View=3 Session=XY3G3XTEYA210&View=Attachment&Number=53102&Part=1.2
[Thu 2015-06-18 04:03:49] [XY3G3XTEYA210] EndRequest: View=3 Session=XY3G3XTEYA210&View=Attachment&Number=53102&Part=1.2 (la richiesta ha impiegato 0.004735 secondi)
[Thu 2015-06-18 04:03:49] [XY3G3XTEYA210] BegRequest: View=3 Session=XY3G3XTEYA210&View=Attachment&Number=53102&FolderID
=0&Part=1.2&Filename=image001.jpg
[Thu 2015-06-18 04:03:49] [XY3G3XTEYA210] EndRequest: View=3 Session=XY3G3XTEYA210&View=Attachment&Number=53102&FolderID
=0&Part=1.2&Filename=image001.jpg (la richiesta ha impiegato 0.004771 secondi)

 
Se il server consentisse il controllo email solo dalla rete locale questa sessione non potrebbe esistere.
E, diciamolo, per la maggior parte degli utenti amministrativi e contabili poter fare un check mail solo dalla propria postazione in ufficio non è un gran limite.
 
Per restringere l’utilizzo della mailbox alla sola rete locale devi seguire questa procedura:

  • avviare l’interfaccia utente di MDaemon;
  • andare sul menu Accounts -> Edit account;
  • selezionare l’account al quale vuoi consentire il check mail solo dalla rete locale;
  • selezionare Mail services;
  • selezionare le voci but only from LAN IPs.


 
Inoltre se si desidera fare un lavoro completo dovresti restringere anche l’utilizzo di WorldClient alla rete locale con questa procedura:

  • avviare l’interfaccia utente di MDaemon;
  • andare sul menu Accounts -> Edit account;
  • selezionare l’account al quale vuoi consentire il check mail solo dalla rete locale;
  • selezionare Web  services;
  • selezionare le voci but only from LAN IPs.

 
Come suggerimento possiamo dire che forse un utente che si occupa di amministrazione potrebbe non aver nemmeno bisogno di un accesso web per controllare la posta elettronica.
 

Utilizzare la sicurezza del sistema operativo
Un’ulteriore possibilità consiste nel fare in modo che prima della schermata di login con WorldClient venga chiesta una password che non è necessariamente la password di posta.
Se si decide di eseguire WorldClient non con il webserver integrato in MDaemon ma facendolo “girare” all’interno di IIS, ecco che si può sfruttare la sicurezza di IIS.
Potresti quindi mettere un primo strato di sicurezza facendo in modo che sia IIS (Windows) a chiedere una password (che potrebbe essere un utente locale o di Active Directory) e solo dopo aver inserito la password si possa accedere all’interfaccia utente di World Client.
Per capire come far girare WorldClient all’interno di IIS ti rimandiamo a questo documento specifico:

 Per abilitare e configurare la sicurezza di IIS rimandiamo alla documentazione che si trova su internet: un buon punto di partenza è il sito ufficiale di Microsoft su IIS.

Policy aziendali
L’ultimo consiglio ma, forse, il più importante è attivare delle policy aziendali che garantiscono la comunicazione con mezzi di comunicazione diversi a seconda del contenuto.
Ad esempio è possibile stabilire con i clienti o fornitori che modifiche di coordinate bancarie devono obbligatoriamente avvenire via telefono e non via mail, o non solo via email.
In questo modo l’hacker è estromesso dalla conversazione per le informazioni riservate (sempre che non monitori anche il telefono, ma è raro).
Infine, ci sono altre tecniche di attacco che sfruttano altri vettori o altre metodologie per estorcere il denaro ma il fine è lo stesso: mail che annuncia il cambio delle coordinate bancarie. Se stiamo attenti a questo tipo di comunicazione riusciamo a tenere “sott’occhio il conto”.
 

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.