Il display name spoofing è una tecnica di phishing, utilizzata dagli hacker con cattive intenzioni, per cercare di far compiere all’ignaro utente una determinata azione, dalla quale spesso si determina un furto di dati personali di quest’ultimo.

Ti è mai capitato di ricevere email, apparentemente veritiere, da servizi bancari o corrieri che ti invitano a cliccare su un link per procedere allo sblocco del tuo conto o della giacenza di un pacco? Il mittente della comunicazione sembra attendibile, poiché tu hai proprio un conto presso quella banca o stai attendendo della merce ordinata online, per cui tu sei in procinto di cliccare e proseguire fornendo tutte le informazioni richieste.

Attenzione! Molto probabilmente hai ricevuto un attacco phishing, con modalità display name spoofing.

In questo articolo approfondiremo cos’è il display name spoofing e ti spiegheremo come puoi difenderti da questo tipo di attacchi.

Come funziona il display name spoofing?

Il display name spoofing è una tecnica molto comune utilizzata dai criminali informatici per svolgere attività di phishing, ossia estorcere informazioni preziose agli utenti per ricavarne un vantaggio. Spesso le informazioni che richiedono sono numeri di carte di credito, di conti correnti, o accessi PayPal, al fine di effettuare dei furti di denaro, in modo del tutto “pulito”, alle spalle dell’ignara vittima.

La pratica consiste in un invio massivo di email (spesso si parla di milioni), il cui contenuto testuale, generalmente, ha la finalità appena illustrata. Ognuno però apre ormai solo le email che ritiene affidabili, esaminando dapprima il nome del mittente e l’oggetto. L’abilità di questi informatici malintenzionati è proprio nella manipolazione del nome del mittente, il quale risulterà del tutto allineato con quello originale dell’azienda/personalità per cui si stanno spacciando.

Ogni client di posta, come Microsoft Outlook o Mozilla Thunderbird, utilizzato per l’invio di posta elettronica compone un header che presenta il contenuto del messaggio. All’interno di questo header esiste il campo From che può essere personalizzato a piacere e di conseguenza, potenzialmente, ognuno può spacciarsi per chiunque.

name spoofing

Come difendersi dal display name spoofing?

Solitamente gli hacker bucano server o siti web altrui che utilizzano come mezzo per inviare messaggi con finalità di phishing, quindi non sempre hanno la possibilità di modificare l’header per intero. Puoi quindi visualizzare situazioni in cui l’email del mittente non ha corrispondenza logica col nome reale: se “Mario Rossi di Banca Italia <william5678@email555.com>” è il mittente, inserito nel campo From, puoi subito intuire che quell’email non sia del Sig. Mario Rossi e, ancor più facilmente, che tale figura non sia un dipendente di questa presunta banca.

Altro discorso invece se il mittente è reso più credibile, ad esempio: “Mario Rossi di Banca Italia <mario.rossi@bancaitalia.it>”. A livello tecnico siamo nella medesima situazione descritta nel paragrafo precedente, in quanto si tratta di semplice testo modificato nel campo From, ma in questo caso in modo più credibile.

Come puoi quindi comprendere, in modo definitivo, capire se si tratta di email phishing?

In caso di dubbio, la cosa migliore è visualizzare la sorgente del messaggio e confrontare la coerenza fra campo From, quello del nome mittente, e il Return-Path: se le email differiscono, significa che ciò che hai di fronte non è affidabile. Mantenendo il medesimo esempio, se su From leggessi “Mario Rossi di Banca Italia mario.rossi@bancaitalia.it>” e sul Return-Path “<william5678@email555.com>”, la coerenza non ci sarebbe, in quanto i domini sono differenti (bancaitalia.it e email555.com), e l’email che hai ricevuto non è pulita.

Il campo Return-Path è infatti più complesso da modificare, tuttavia, i pirati informatici più abili, possono essere in grado di personalizzarlo. In questo caso, la coerenza c’è, l’email da un’analisi automatica dei campi risulterà pulita ed impossibile da bollare come spam.
Ciò che rimane è quindi l’aspetto umano: il buon senso è l’unica via di salvezza. Se dopo i sopracitati controlli dovessero ancora permanerti dei dubbi, prova a contattare direttamente l’ente, o presunto tale, che ti sta scrivendo, per comprenderne di più riguardo la legittimità della comunicazione.

Come ti difende Shellrent

Se già utilizzi il nostro servizio di posta puoi stare tranquillo, perchè la gran parte degli attacchi phishing, condotti attraverso le modalità del display name spoofing, sono da noi bloccati e non giungono sulla tua casella email.

Recentemente abbiamo aumentato i controlli per prevenire l’ingresso di email che utilizzano il display name spoofing, rendendo più severe le regole del nostro sistema antispam, attivando delle funzionalità aggiuntive che verificano se la casella email d’invio nel campo Return-Path corrisponda al campo From. Nel caso in cui questa corrispondenza non ci fosse, l’email riceverà molti punti spam e non la vedrai sulla tua inbox. In questo modo, il nostro sistema antispam ti tutela dall’email phishing, riducendo al minimo gli ingressi di email che utilizzano il display name spoofing come tecnica di frode.

Ciò non toglie comunque che prestare la massima attenzione al contenuto delle email che ricevi, poiché qualche hacker “più bravo” potrebbe comunque risultare attendibile in un primo momento e “farla franca”. Se dovesse sorgerti anche il minimo dubbio, visualizza il codice sorgente del messaggio per avere informazioni più chiare e, nel caso in cui le tue perplessità persistessero, contatta il nostro Supporto tecnico o l’azienda/persona che ti sta scrivendo.