Archivi tag: man in the mail

DMARC Forensics: un tool per verificare la compliance ed evitare problemi di spoofing

Quanto è facile inviare un messaggio di posta elettronica a nome di altri? La risposta è che è facilissimo, ci sono persino siti tipo Emkei o AnonyMailer che permettono a chiunque di scrivere messaggi apparentemente provenienti da indirizzi di posta di terzi, inclusi potenzialmente gli indirizzi PEC, che ovviamente non possono essere utilizzati per invio PEC tramite spoofing ma esclusivamente PEO.

Il punto è che il server dell’account email del ricevente ha modo di verificare se il messaggio proviene effettivamente dall’indirizzo del mittente oppure è stato inviato tramite email spoofing e quindi decidere di scartarlo o mandarlo in spam, eventualmente segnalando al server del dominio del mittente l’anomalia.

Affinché ciò avvenga è però essenziale che il dominio del mittente sia correttamente configurato, a livello DNS e server di posta, per indicare il corretto record DMARC, SPF ed eventuale chiave pubblica DKIM (in tal caso il messaggio deve poi essere anche firmato tramite DKIM) così da permettere al server ricevente di fare le opportune verifiche.

DMARC Forensics, una soluzione per verificare la configurazion DMARC

Prendendo spunto dal post Linkedin di Andrea Draghetti sulla configurazione del server di Poste Italiane che a giugno 2025 ha evidenziato come il server supportasse SPF ma nessuna non vi fosse traccia di DKIM e DMARC, dopo aver rivisto il video di Francesco Guiducci e Raffaele Colavecchi che spiegano come configurare SPF, DKIM e DMARC che illustrano come proteggere la posta elettronica (e la propria reputazione) tramite una opportuna configurazione del protocollo DMARC, DKIM e SPF, con un occhio alle raccomandazioni dell’Agenzia per la Cybersicurezza Nazionale ACN sul Framework di Autenticazione della posta elettronica ho scritto un semplice script di DMARCForensics per verificare la conformità DMARC dei domini, che potete trovare pubblicamente sul sito DMARC Forensics.

DMARC Forensics Tool - DMARC Compliance Checker and Inspector with Report and Fix

Esistono decine di dmarc checker tool, il tool di DMARC Forensics che ho sviluppato non differisce di molto dagli altri però potete usarlo con liste di domini e con la consapevolezza che non caricate alcun dato sul server: tutto gira in locale sul vostro browser.

Ho testato con il DMARC Forensics tool alcuni domini istituzionali utilizzati per invio posta elettronica, parte dei quali risultano ben configurati, altri meno, alcuni per nulla, in generale l’80% dei domini è ben configurato e quelli con problemi sul record DMARC non è detto che poi non firmino comunque i messaggi tramite DKIM o supportino SPF.

Non andrebbero ovviamente ignorati i domini che non inviano posta, tratteremo più aventi la questione di siti o domini istituzionali che non vengono usati per invio di messaggi di posta elettronica e che quindi possono essere utilizzati per inviare mail impersonando tali istituzioni mediante spoofing senza alcun controllo sull’autorità del dominio.

Integrerò più avanti verifica SPF e DKIM (con selector fornito dall’utente o bruteforced) oltre che permettere la cristallizzazione forense dei record tramite web forensics così da preservarne lo stato DMARC (ma anche DKIM ed SPF) per eventuale uso legale, al momento è possibile comunque scaricare in formato TXT il log delle query e in XLSX la tabella.

Ricordiamo infatti quanto, nei casi di Man in The Mail (i casi dei bonifici fraudolenti ottenuti tramite cambio IBAN da parte degli attaccanti) può essere strategica una valutazione forense della configurazione DMARC, una verifica delle firme DKIM, un test dei requisiti SPF per rappresentare correttamente ai legali eventuali responsabilità nella truffa informatica subita dalla vittima.

Il tool “DMARC Forensics” è molto “severo” ed evidenzia note o commenti anche per i domini che risultano conformi, come ad esempio la presenza di record multipli, il mancato allineamento con sottodomini o la policy eccessivamente permissiva o ambigua: in tal caso nella colonna “Fix” viene indicato come rimediare.

Qui di seguito si possono osservare i risultati del sito DMARC Forensics dove ho offuscato i domini non compliant, anche perché alcuni – pur non avendo DMARC configurato – firmano comunque i messaggi con DKIM (seppur talvolta senza alignment al domain) e rispettano policy SPF, quindi la mancata configurazione DMARC è un problema minore.

DMARC Forensics - Siti governativi e istituzionali italiani

Il motivo dell’oscuramento e redact è che non ritengo corretto che i domini non conformi vengano presentati con accezione negativa, anche purtroppo un dominio non solo non ha record DMARC configurato ma restituisce il record SPF al suo posto e come ciliegina sulla torta non firma neanche con DKIM le email inviate.

DMARC Forensics, istruzioni per l’uso

Il DMARC Forensics – Compliance Checker è uno strumento web gratuito e avanzato, progettato per analizzare la configurazione DMARC (Domain-based Message Authentication, Reporting, and Conformance) di uno o più domini. Creato per essere semplice, veloce e sicuro, il tool opera interamente lato client, garantendo che nessun dato inserito dall’utente venga trasmesso o memorizzato su server esterni, nel pieno rispetto della privacy.

Il tool DMARC Forensics è semplice da utilizzare, è sufficiente inserire nel campo di testo un elenco di domini, uno per riga o separati da due punti o punto e virgola e le sue caratteristiche principali sono le seguenti:

  1. Analisi Multi-Dominio: L’applicazione consente agli utenti di inserire un elenco di domini (fino a 20 per volta, per evitare saturazione lato client) in un’unica interfaccia. Questo permette di effettuare controlli massivi in modo efficiente, ideale per amministratori di sistema che gestiscono molteplici proprietà web.
  2. Validazione Sintattica: Prima di avviare le query DNS, il tool esegue una validazione preliminare sui nomi di dominio inseriti per verificare che rispettino gli standard RFC, segnalando all’utente eventuali errori di formattazione.
  3. Interrogazione DNS Client-Side: Utilizzando l’API pubblica di Google DNS, lo script interroga il record TXT _dmarc per ciascun dominio. Tutta l’operazione avviene direttamente nel browser dell’utente, assicurando la massima privacy e velocità.
  4. Analisi Dettagliata della Conformità: Il cuore del tool è il suo motore di analisi. Non si limita a verificare l’esistenza del record, ma esamina ogni direttiva DMARC secondo le best practice di sicurezza. I risultati sono classificati con un sistema di colori intuitivo:
    • Compliant (Verde): Il record è valido e applica una policy restrittiva (quarantine o reject) senza problemi significativi.
    • Compliant with notes (Verde-giallo): Il record è valido ma presenta criticità minori che non ne compromettono l’efficacia (es. alignment rilassato, policy p=none, mancate autorizzazioni per i report esterni).
    • Not compliant (Rosso): Il record presenta errori fatali (es. più record DMARC, sintassi errata, policy mancante).
    • Not configured (Rosso): Nessun record DMARC trovato.
  5. Note e Soluzioni (FIX): Per ogni problema rilevato, il tool fornisce una spiegazione chiara nella colonna “Notes” e un suggerimento pratico su come risolverlo nella colonna “FIX”. Questo trasforma l’analisi da un semplice controllo a una guida operativa.
  6. Export dei Dati: I risultati possono essere esportati in due formati:
    • Report XLS: Un file Excel che riproduce la tabella dei risultati, mantenendo la formattazione a colori per una facile consultazione e archiviazione.
    • Log TXT: Un file di testo dettagliato contenente le query DNS esatte inviate e le risposte JSON complete ricevute, ideale per analisi forensi e debugging tecnico.

A Chi si Rivolge il DMARC Forensics tool

Questo strumento è pensato per un’ampia gamma di professionisti e tecnici informatici:

  • Amministratori di Sistema e DevOps: Per verificare e mantenere la corretta configurazione DMARC sui domini aziendali;
  • Professionisti della Sicurezza Informatica: Per condurre audit di sicurezza sulla posta elettronica e identificare vulnerabilità legate a spoofing e phishing;
  • Consulenti di Informatica Forense: Per acquisire rapidamente dati sulla configurazione DMARC durante un’indagine e cristallizzarne – a breve – lo stato a uso legale in perizie informatiche forensi, ad esempio in casi di Man in The Mail (MITM);
  • Webmaster e Proprietari di Domini: Per assicurarsi che il proprio dominio sia protetto e che le comunicazioni via email siano affidabili.

Attenzione che funzionando lato client e utilizzando per le informazioni DNS le API di Google (https://dns.google/resolve) può non fornire risultati se lo si utilizza da IP con bassa reputazione come VPN o Tor.

Proteggere la nostra vita online: intervista per IusLaw Web Radio

Venerdì 13 ottobre 2023 è andata in onda l’intervista realizzata per IusLaw Web Radio, durante la quale Elia Barbujani – insieme agli speakers che parteciperanno al GDPR Day 2023 – hanno parlato di protezione dati e frodi via email che possono costare caro all’azienda che non investa in cybersecurity, trattando diversi punti di vista, da quello del DPO, all’informatico forense e avvocato.

JusLaw Web Radio per il GDPRDay con Paolo Dal Checco sull'informatica forense

Durante l’intervista radio per IusLaw sono intervenuti, insieme a Elia Barbujani:

🎤 Monica Gobbato, avvocato, Presidente Privacy Academy, Organizzatrice Chapter Legal Hackers Genova

🎤 Paolo Dal Checco, Consulente Informatico Forense in ambito di Perizia Informatica e Indagini Digitali per processi Penali, Civili o in ambito stragiudiziale

🎤 Costanza Matteuzzi, avvocato, esperta di privacy, reati informatici e cybersecurity. 

L’intervento per IusLaw Web Radio è disponibile sia come video intervista organizzata tramite evento su Linkedin sia come podcast ascoltabile direttamente online sul sito WebRadiuIusLaw, durante l’intervista vengono trattati temi che spaziano dalla protezione del brand all’informatica forense, in particolare nell’ambito delle truffe bancarie di tipo Man in The Mail (MITM) note anche come Business Email Compromise (BEC) che causano la perdita d’ingenti fondi tramite bonifico disposto verso IBAN bancari fraudolentemente inviati tramite la modifica di fatture in PDF e l’intercettazione e/o alterazione di messaggi di posta elettronica.

Intervista Web Radio Ius Law su GDPRDay e Informatica Forense

L’intervista anticipa la conferenza che si terrà giovedì 19 ottobre al GDPR Day a Bologna: la nuova edizione della conferenza nazionale su GDPR e Cyber Security con la collaborazione di IusLaw WebRadio come Main Media partner dell’evento.

Digital Forensics e Investigazioni Digitali per Persone & Privacy

Oggi ho tenuto un intervento su Digital Forensics e Investigazioni Digitali per l’Associazione Persone & Privacy, nella quale sono fiero di essere entrato da poco a far parte come membro del Comitato Scientifico.

Associazione Persone e Privacy

Il webinar su digital forensics e investigazioni digitali ha coperto vari argomenti, quali la figura del consulente informatico forense, la forensic readiness, il data breach e rischi di attacchi informatici come man in the mail, ransomware, phishing e dipendente infedele, il GDPR.

Webinar su Informatica Forense e Digital Forensics

Durante il webinar organizzato dalla Associazione Persone & Privacy sono stati presentati diversi esempi di casi pratici dove è stata richiesta attività di perizia informatica a seguito di data breach o dipendenti infedeli, danneggiamento di materiale informatico o accesso abusivo, reati informatici e tradizionali dove la componente digitale è strategica per la risoluzione del caso giudiziario.

Le Iene - Dal Checco nel servizio sulle password rubate

Con Le Iene sulla sicurezza delle password online

Domenica è andato in onda il servizio dove la iena Nicolò De Devitiis ha presentato un servizio al quale ho dato il mio modesto contributo come esperto di sicurezza e informatica forense per illustrare la problematica dei furti di password che tutti abbiamo prima o poi subito e dei rischi che corriamo, dando alcuni suggerimenti su come difendersi e tutelare la nostra sicurezza online.

Le Iene - Dal Checco nel servizio sulle password rubate

Il servizio per Le Iene sulla sicurezza online delle nostre password, con Nicolò De Devitiis, è andato in onda in prima serata su Mediaset e ha avuto un ottimo riscontro da parte del pubblico che ha seguito i suggerimenti mostrati nel video per verificare se il proprio account o la propria password sono stati compromessi e distribuiti in uno dei vari data breach occorsi ai servizi dove ci siamo registrati in passato.

Dal Checco e De Vitiis a Le Iene

In particolare, nel servizio de Le Iene presentato da Nicolò De Devitiis su Mediaset ha avuto successo il sito Have I Been Pwned che, permettendo a chiunque di verificare le proprie password e i propri account, ha ricevuto durante la serata una così grande quantità di accessi da allarmare l’ideatore del servizio, il ricercatore Troy Hunt, che su Twitter ha segnalato l’anomalia ipotizzando inizialmente un attacco informatico e rilevando poi che invece si trattava di decine di migliaia di accessi provenienti dall’Italia.

Ad accompagnare il servizio de Le Iene sulle password e i data leak, segnalo l’ottimo intervento del Vice Questore Aggiunto della Polizia Postale, Rocco Nardulli, che ha fornito suggerimenti preziosi e indicazioni sulle tipologie di reato che commette chi scarica e diffonde credenziali rubate.

Rocco Nardulli a Le Iene

Interessante approfondimento della iena Nicolò De Devitiis e del Vice Questore Aggiunto Rocco Nardulli quello sulle truffe dei bonifici deviati su falsi IBAN, chiamate anche “Man in The Mail”, a causa delle quali aziende e persino squadre di calcio hanno perso milioni di euro a causa di bonifici emessi verso conti dei criminali invece che verso i conti dei reali destinatari, a causa di attacchi alla posta elettronica o attività di social engineering.

Man in the Mail - Truffa bonifico con falso IBAN via email

Crescono gli attacchi di “Man in The Mail”, la truffa dei bonifici a falsi IBAN

Man in the Mail - Truffa bonifico con falso IBAN via emailSono anni che si parla della truffa dei bonifici deviati in modo fraudolento verso falsi IBAN ai quali le aziende inviano fondi destinati a fornitori a fronte di false fatture modificate ad hoc da criminali che si sono insinuati nelle caselle di posta elettronica al fine di spiare le comunicazioni tra cliente e fornitore. L’FBI ha segnalato ormai da tempo il problema come una delle truffe maggiormente in voga nei confronti delle aziende e anche in Italia se n’è parlato in TV, sui giornali e online.

Nonostante questo, novembre è stato un mese nero per le truffe bancarie dei bonifici di tipo Man in The Mail (MITM) che prendono anche il nome di “Man in The Middle”, “BEC Scam”, “Wire fraud”, “Business Email Compromise”, “BEC Fraud” o ancora “Bogus Invoice Scheme”, “Supplier Swindle” o “Invoice Modification Scheme”. Se durante l’anno abbiamo ricevuto segnalazioni con frequenza di due o tre truffe al mese, nelle settimane di novembre le segnalazioni di Man in The Mail sono salite a diverse truffe al giorno.

Non è chiaro il motivo per il quale gli attacchi di falsificazione delle coordinate bancarie IBAN via email si sono fatti più aggressivi e pervasivi, al punto da colpire piccole, medie e grandi imprese, utilizzando persino IBAN ospitati presso enti bancari italiani, che dal punto di vista del riciclaggio e il rischio di blocco dei fondi diventano più complicati da gestire per i criminali.

L’FBI dichiara – nel suo rapporto del luglio 2018 – di aver conteggiato dall’ottobre 2013 al maggio 2018 ben 78.617 casi di Man in The Mail per una perdita totale di oltre 12 miliardi di dollari, cifre in aumento costante nonostante la consapevolezza di questa truffa stia cominciando a essere più presente fra le aziende.

Le modalità con le quali i criminali ottengono l’accesso ai dati riservati delle aziende tramite man in the middle, in particolare alla loro posta elettronica e alle loro fatture, cambia di volta in volta, così come la tecnica utilizzata per alterare i codici IBAN all’interno delle fatture originali, così da deviare il bonifico verso conti spesso poco tracciabili o dai quali, in ogni caso, i fondi verranno rimossi non appena arrivati grazie ai bonifici disposti volontariamente dalle vittime.

Da anni il metodo principale con cui avviene il man in the middle degli IBAN rimane il phishing, cui bisogna prestare massima attenzione, perché le difese tecnologiche spesso sono insufficienti di fronte a un operatore che fornisce le proprie credenziali ai delinquenti, anche tramite telefono (mediante il cosiddetto “vishing”, come è avvenuto pochi giorni fa) o SMS (in questo caso il fenomeno si chiama “smishing”) e persino via FAX. La percezione degli utenti è spesso quella del “mi hanno hackerato la mail” o “mi hanno bucato la casella di posta elettronica“, in realtà sono stati loro a fornire le credenziali agli attaccanti o persino il cookie di sessione, come mostrerò più avanti.

Precauzioni come l’autenticazione a due fattori (la cosiddetta “2fa”, “two factor authentication“) riducono il fenomeno ma non lo eliminano del tutto: è infatti possibile per i delinquenti rubare dalle vittime i cookie di sessione ed entrare direttamente nell’account di posta senza dover inserire username o password.

Phishing come vettore del Man in The Mail

Oltre al phishing, uno dei vettori più comuni per il man in the mail è l’infezione tramite malware o trojan dei PC o degli smartphone di chi esegue movimenti e bonifici bancari. Tramite l’invio di una finta fattura, nota di credito, istanza o altro i criminali trasmettono in realtà un “dropper”, un programma in grado di scaricare il malware e installarlo sul PC, dove questo sarà in grado di spiare le attività dell’utilizzatore e carpire le password. Banalmente, dopo alcuni giorni o settimane di monitoraggio, i delinquenti procedono con la registrazione di domini simili a quelli di una delle due aziende coinvolte e all’invio delle email fake, con gli IBAN errati, così da trarre in inganno le vittime.

Ultimamente abbiamo rilevato diversi casi di Man in The Mail perpetrati attraverso l’accesso diretto alla casella di posta tramite protocollo IMAP, grazie al quale i criminali sostituiscono direttamente le email arrivate al cliente, lasciando intatto il testo ma modificando l’allegato PDF contente la fattura con il codice IBAN corretto che viene modificato indicandone uno diverso. Il cliente, scaricando la mail “farlocca”, pagherà la merce o i servizi al conto bancario IBAN sbagliato, intestato appunto ai delinquenti o in realtà a dei prestanome. In sostanza, il cliente riceve la mail corretta dal fornitore (il cui account quindi non è stato compromesso) ma quando la scarica, l’allegato PDF è diverso, il tutto grazie alla possibilità del protocollo IMAP di sostituire una mail (o l’allegato, nel caso specifico la fattura originale con il vero IBAN) lasciandola sul server in modo che la vittima possa scaricarla già falsificata.

IMAP come mezzo per Man in The Mail e BEC Scam, business email compromise

Oltre a utilizzare sempre più spesso direttamente il protocollo IMAP per sostituire le mail originali con quelle false contenenti la fattura con IBAN modificato, una precauzione molto spesso presa dai truffatori è quella d’impostare un inoltro, o forward, su una o più caselle compromesse, così da evitare che i proprietari possano leggere le email inviate dai reali clienti o fornitori.

Una volta incassate le somme estorte con l’inganno i ladri procedono, tramite “money mule“, a svuotare il conto su cui vengono ricevuti i bonifici di chi è stato truffato, attraverso prelievi di contante o trasferimenti irreversibili mediante servizi di money transfer. In alcuni casi, il cash out e il money laundering viene fatto persino tramite acquisto di bitcoin. Questo è uno dei motivi per i quali le truffe di tipo Man in The Mail spesso non permettono l’annullamento o lo storno dei bonifici o il recupero delle cifre bonificate, che sono già state immediatamente svuotate dal conto della banca ricevente. In alcuni casi, fortunatamente, è possibile contattare immediatamente la banca che ha ricevuto il bonifico sull’IBAN farlocco per imporre il blocco dei fondi, cosa fattibile quando la banca di appoggio dei criminali è ad esempio in Italia, cosa difficile quando l’istituto bancario si trova all’estero in paesi lontani o poco collaborativi.

Lo Studio, per questo tipo di reati, esegue perizie su truffe bancarie di tipo “Man in The Mail” con bonifici su falsi IBAN finalizzate a identificare le modalità dell’attacco alla casella di posta o ai sistemi informatici ma soprattutto a capire chi è stato compromesso, se il compratore o il venditore. Dal punto di vista di un eventuale risarcimento, la perizia informatica sulla truffa degli IBAN cambia radicalmente la prospettiva nel caso in cui il raggiro sia avvenuto a causa della compromissione degli account o dei sistemi del fornitore/venditore, in tal caso il cliente che ha bonificato verso l’IBAN sbagliato può tentare di esonerarsi dalla responsabilità e ottenere comunque la merce o i servizi. In altri casi, non riuscendo a identificare correttamente la responsabilità di chi è stato causa indiretta della truffa (cioè colui che ha avuto l’indirizzo di posta elettronica bucato o i sistemi compromessi) si può tentare un accordo o conciliazione al 50%. Anche le banche possono essere coinvolte in una eventuale richiesta di risarcimento, con maggiore difficoltà, ma in alcuni casi i profili di responsabilità possono essere valutati andando oltre il cliente e il fornitore.