Hacker dediti al phishing stanno sempre più sfruttando la configurazione errata dei sistemi di routing e autenticazione degli indirizzi email per contraffare i domini aziendali legittimi, consentendo il furto di credenziali, frodi finanziarie e compromissioni dell’email aziendale (BEC). Secondo un’analisi dettagliata di Microsoft Threat Intelligence, questa tecnica ha guadagnato terreno dalla metà del 2025 e rimane molto efficace contro le organizzazioni con flussi di posta complessi e protezioni against spoofing deboli.
Come funziona
L’attività sfrutta i sistemi di posta elettronica in cui il dominio dell’organizzazione appare sia nel campo “Da” che in quello “A”, facendo sembrare i messaggi come se fossero originati internamente. Questi messaggi di phishing, spesso creati con temi come comunicazioni HR, avvisi di documenti condivisi o notifiche di reset della password, sono distribuiti su larga scala e sono solitamente collegati a piattaforme di phishing-as-a-service (PhaaS) come Tycoon2FA.
La telemetria di Microsoft mostra che oltre 13 milioni di email malware associate a Tycoon2FA sono state bloccate solo nel mese di ottobre 2025, sottolineando la portata di queste operazioni.
Meccanismi Tecnici di Base
Gli header email (SMTP) permettono spoofing perché il protocollo SMTP originale non autentica il mittente. Ecco come funziona:
- Controllo degli Header Email:
- From: Indirizzo visibile al destinatario (facilmente spoofabile).
- Return-Path/Envelope Sender: Usato per i bounce (può differire da From).
- Reply-To: Per reindirizzare risposte.
Esempio di header spoofati:
From: ceo@tuadominio.com Reply-To: ceo@tuadominio.com Return-Path: <spoofed@tuadominio.com> - Invio via SMTP Aperto o Relay:
- Usa server SMTP non autenticati (aperti relay, rari oggi ma ancora presenti).
- Tool come Telnet/Netcat per connettersi manualmente a porta 25:
telnet smtp.example.com 25 HELO yourspoof.com MAIL FROM: <ceo@target.com> RCPT TO: <victim@target.com> DATA Subject: Urgente: Bonifico immediato Ciao, invia 10k a questo IBAN... . QUITQuesto invia un’email con From spoofato direttamente.
Tecniche Avanzate Usate dagli Hacker
| Tecnica | Descrizione | Tool Comuni | Evidenze/Efficacia |
|---|---|---|---|
| SMTP Diretto | Connessione diretta al MX del target senza relay. Funziona se il server non blocca. | swaks, sendemail, msmtp |
90% successo su server legacy (fonte: test pentest 2024). |
| Exploit DKIM/SPF Bypass | Falsifica DKIM signature (rara ma possibile con chiavi rubate) o usa subdomini non protetti. | opendkim-testkey, script Python con dkimpy |
SPF/DKIM coprono ~70% domini (Google Transparency 2024). |
| Servizi Anonimi/Proxy | Anonymizer SMTP o VPN/Tor per nascondere IP. | AnonEmail, Guerrilla Mail API, AWS SES abusato |
Traccia IP via header Received. |
| Phishing Kit | Template pronti con spoofing integrato. | Evilginx2, Gophish, Social-Engineer Toolkit (SET) | SET genera payload in <1min. |
| HTML/CSS Trick | Maschera visuale del mittente nel client email. | Inline SVG/CSS per sovrapporre testo | Bypassa filtri Outlook/Gmail parzialmente. |
Esempi di Codice per Pentest
Python con smtplib (usa credenziali tue o relay test):
import smtplib
from email.mime.text import MIMEText
msg = MIMEText("Payload pentest: verifica spoofing.")
msg['Subject'] = 'Test Urgente'
msg['From'] = 'ceo@target.com' # SPOOFATO
msg['To'] = 'victim@target.com'
server = smtplib.SMTP('smtp.relay.test.com', 587) # O tuo relay
server.starttls()
server.login('tuo_user', 'tua_pwd')
server.send_message(msg)
server.quit()
Swaks (tool CLI pronto all’uso):
swaks --to victim@target.com --from ceo@target.com --server mx.target.com:25 --body "Test pentest spoofing"
Mitigazioni e Verifica in Pentest
- Abilita SPF/DKIM/DMARC: Controlla con
dig txt target.como tool come MXToolbox. - Testa: Invia email spoofate e verifica se arrivano/quarantenati (Gmail li blocca spesso).
- Header Analysis: Usa
Received:per tracciare IP reali. - Tool per Difesa: Postmark, MailHog per simulare.