Il ricercatore di sicurezza informatica Timo Longin, in collaborazione con l’azienda SEC Consult, ha scoperto un nuovo tipo di attacco chiamato “SMTP Smuggling”, che permette a malintenzionati di inviare email false per conto di altri utenti senza passare attraverso le normali procedure di autenticazione delle email.

Il sistema SMTP (Simple Mail Transfer Protocol) è un protocollo standard utilizzato per il trasferimento della posta elettronica su Internet, definendo le regole dello scambio di messaggi tra server di posta e client.

Il problema individuato sfrutta le differenze nell'interpretazione della sequenza di caratteri che indica la fine dei dati del messaggio tra i server SMTP in entrata e in uscita. Queste differenze consentono agli aggressori di inserire informazioni aggiuntive nelle email, eludendo tutti i meccanismi di autenticazione come SPF, DKIM e DMARC progettati per contrastare spam e phishing.

Il problema coinvolge numerosi domini, tra cui  Amazon, PayPal, eBay, GitHub e parzialmente Exchange di Office365. I ricercatori hanno dimostrato la possibilità di inviare email apparentemente provenienti da indirizzi di altre persone. Può essere utilizzata una qualsiasi casella di posta , come ad esempio “Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.”, a cui gli specialisti non hanno accesso, alla fine delle operazioni la vittima dell'attacco riceverà un'email da questo indirizzo, come se fosse autentico: il server SMTP vulnerabile verrà quindi ingannato.

Il problema è stato segnalato ai provider di posta elettronica più vulnerabili già da fine luglio 2023, ma la risposta purtroppo è stata varia: alcuni hanno risolto rapidamente la vulnerabilità, mentre altri, come ad esempio Cisco, non ritengono che sia un problema.

L'attacco di "SMTP Smuggling" aiuta a eludere l'autenticazione, ma i filtri antispam più sofisticati possono comunque identificare le email false in base al contenuto. Tuttavia, i ricercatori avvertono che non bisogna basarsi esclusivamente sui filtri antispam. come sempre, il cervello umano resta il miglior firewall.

La minaccia purtroppo è difficile da valutare completamente, poiché l'analisi non ha coperto tutti i server di posta: potrebbero pertanto esserci altre situazioni vulnerabili. Tutto ciò evidenzia come i protocolli di autenticazione usati nella posta elettronica richiedono ormai miglioramenti ed aggiornamenti per resistere a nuovi metodi di attacco. Al momento l'unica soluzione è la prevenzione: tutte le aziende dovrebbero vigilare attentamente e ad installare regolarmente gli aggiornamenti di sicurezza relativi ai propri server di posta elettronica.

Come sempre riportiamo la fonte dalla quale è partita la nostra indagine. Non ci interessa ottenere click per titoli sensazionalistici, il nostro scopo è quello di informare correttamente ciò che avviene nel mondo digitale.