Perché ricevo spam dal mio indirizzo email?

Ti è mai capitato di aprire un’email e scoprire che si trattava di spam o di un tentativo di ricatto apparentemente proveniente dal tuo stesso indirizzo? Non preoccuparti, non sei il solo. Questo fenomeno, noto come “spoofing” dell’indirizzo email, è purtroppo molto diffuso e, in realtà, le azioni che si possono intraprendere per contrastarlo sono limitate.

Come i truffatori alterano l’indirizzo email

Lo spoofing consiste nella contraffazione di un indirizzo email, facendolo apparire come se provenisse da una persona diversa dal mittente reale. Spesso, questa tecnica viene utilizzata per ingannare i destinatari, inducendoli a credere che l’email provenga da un contatto fidato o da un’organizzazione con cui hanno a che fare, come una banca o un istituto finanziario.

La facilità con cui si può falsificare un’email è sorprendente. I sistemi di posta elettronica, in molti casi, non effettuano controlli di sicurezza rigorosi per verificare che l’indirizzo specificato nel campo “Da” corrisponda effettivamente al mittente. Il concetto è simile a quello di una busta: si può scrivere qualsiasi indirizzo nel campo del mittente, senza che l’ufficio postale verifichi la sua autenticità o la sua corrispondenza con il vero mittente.

La contraffazione dell’email segue lo stesso principio. Alcuni servizi online, come Outlook.com, sono più attenti all’indirizzo del mittente e potrebbero bloccare l’invio di email con un indirizzo contraffatto. Tuttavia, esistono strumenti che permettono di inserire qualsiasi informazione desiderata. È persino possibile creare il proprio server di posta elettronica (SMTP). I truffatori hanno bisogno soltanto del tuo indirizzo email, che spesso possono ottenere a seguito di violazioni di dati.

Qual è lo scopo dei truffatori?

Generalmente, i truffatori utilizzano l’indirizzo email falsificato con due scopi principali. Il primo è quello di superare i filtri antispam. Sperano che, vedendo la tua email come mittente, i filtri non la contrassegnino come spam. Di solito, si presta maggiore attenzione alle email auto-indirizzate, ritenendole promemoria importanti. Esistono strumenti in grado di identificare le email provenienti da domini diversi da quelli dichiarati, ma molti provider di posta elettronica non li implementano.

La seconda ragione per cui i truffatori ricorrono allo spoofing è per conferire maggiore credibilità al messaggio. Spesso, l’email contraffatta comunica che il tuo account è stato compromesso. Il fatto che “tu ti sia inviato questa email” viene utilizzato come presunta prova dell’accesso dell’hacker. A volte, includono anche password o numeri di telefono recuperati da database compromessi, come ulteriore conferma.

Il truffatore, a questo punto, potrebbe sostenere di possedere informazioni compromettenti su di te o immagini provenienti dalla tua webcam. In seguito, minaccia di rivelare tali dati ai tuoi contatti, a meno che tu non paghi un riscatto. Inizialmente, la situazione potrebbe sembrare plausibile, visto che sembra che abbiano accesso alla tua email. Ma si tratta di una manipolazione della realtà.

Come i servizi di posta cercano di risolvere il problema

L’email qui sopra sembra provenire dal nostro indirizzo personale, ma un’analisi delle intestazioni mostra che si tratta di un inganno.

La facilità con cui si può falsificare un indirizzo email non è una novità. I provider di posta elettronica, per evitare che tu sia sommerso da spam, hanno sviluppato strumenti per contrastare questo problema.

Il primo di questi strumenti è il Sender Policy Framework (SPF). Il suo funzionamento si basa su alcuni principi fondamentali. Ogni dominio di posta elettronica ha un insieme di record DNS (Domain Name System) che servono a indirizzare il traffico verso il server corretto. Il record SPF agisce in sinergia con il record DNS. Quando invii un’email, il servizio di ricezione confronta il dominio fornito (ad es. @gmail.com) con l’IP di origine e il record SPF per verificare che corrispondano. Quindi, se un’email proviene da un indirizzo Gmail, dovrebbe risultare che ha avuto origine da un dispositivo gestito da Gmail.

Tuttavia, l’SPF da solo non risolve completamente il problema. È necessario che i record SPF siano costantemente aggiornati, cosa che non avviene sempre. Inoltre, i truffatori riescono facilmente ad aggirarlo. Spesso, quando si riceve un’email, si visualizza solo il nome del mittente, anziché l’indirizzo email completo. I truffatori sfruttano questo aspetto, inserendo un indirizzo email nel nome del mittente e un altro, che corrisponde a un record SPF, nell’indirizzo di invio. In questo modo, l’email non viene identificata come spam, neppure dall’SPF.

Inoltre, le aziende devono decidere come interpretare i risultati dell’SPF. Spesso, preferiscono lasciare passare le email, piuttosto che rischiare che un messaggio importante venga bloccato. L’SPF, infatti, fornisce solo i risultati del controllo, senza indicare come gestirli.

Per ovviare a questi problemi, Microsoft, Google e altri hanno sviluppato il sistema di convalida Domain-based Message Authentication, Reporting and Conformance (DMARC). Questo sistema lavora insieme all’SPF, stabilendo delle regole su come gestire le email classificate come potenzialmente spam. Il DMARC esegue per prima cosa una scansione SPF. In caso di esito negativo, blocca l’email, a meno che un amministratore non abbia configurato diversamente. Anche se un controllo SPF risulta positivo, il DMARC verifica che l’indirizzo email mostrato nel campo “Da:” corrisponda al dominio da cui l’email proviene. Questa operazione viene definita “allineamento”.

Nonostante il supporto di Microsoft, Facebook e Google, l’adozione del DMARC non è ancora ampiamente diffusa. Se utilizzi un indirizzo Outlook.com o Gmail.com, probabilmente ne stai già beneficiando. Tuttavia, alla fine del 2017, solo 39 delle 500 aziende Fortune avevano implementato questo servizio di convalida.

Come difendersi dallo spam auto-indirizzato

L’email qui sopra sembrava provenire dal nostro indirizzo personale; fortunatamente è finita direttamente nello spam.

Sfortunatamente, non è possibile impedire ai truffatori di falsificare il tuo indirizzo email. L’ideale sarebbe che il tuo servizio di posta elettronica implementasse sia l’SPF che il DMARC, in modo da intercettare questo tipo di email, che dovrebbero finire direttamente nella cartella spam. Se hai la possibilità di gestire le impostazioni antispam della tua email, rendile più restrittive. Tieni presente che, in questo modo, potresti perdere anche alcune email legittime. Per questo, controlla la cartella spam con una certa frequenza.

Se ricevi un messaggio contraffatto proveniente dal tuo stesso indirizzo, ignoralo. Non cliccare su allegati o link, e non pagare alcun riscatto. Segnalalo come spam o phishing, oppure eliminalo. Se temi che i tuoi account siano stati compromessi, bloccali per sicurezza. Se utilizzi sempre le stesse password, cambiale su tutti i servizi che ne fanno uso, creando password nuove e uniche per ciascuno. Se temi di non riuscire a ricordare tutte queste password, valuta l’utilizzo di un gestore di password.

Se ti preoccupa la possibilità che i tuoi contatti ricevano email contraffatte a tuo nome, potrebbe essere utile imparare a leggere le intestazioni delle email.