Redazione MailSniper
Autore
Sei in aeroporto. Devi mandare un'email urgente al cliente. Apri il portatile, cerchi il Wi-Fi, trovi "Airport_Free_WiFi". Ti connetti. Apri Outlook. Invii l'email. Chiudi il portatile.
Tutto normale. Tranne che quella rete non era dell'aeroporto. Era di un tizio seduto tre file dietro di te, con un portatile e un hotspot che trasmetteva un segnale Wi-Fi con lo stesso nome della rete ufficiale. Una rete evil twin — un gemello malvagio.
E in quei 3 minuti che hai usato per mandare l'email, quel tizio ha intercettato le tue credenziali IMAP, la password della tua casella email, e forse anche il contenuto dei messaggi che hai inviato e ricevuto.
Benvenuto nel mondo degli attacchi evil twin — una delle minacce piu' sottovalutate per la sicurezza delle email aziendali.
L'evil twin e' concettualmente semplice. Il criminale crea un access point Wi-Fi con lo stesso nome (SSID) di una rete legittima. Il segnale del suo access point e' piu' forte di quello originale, quindi i dispositivi si connettono automaticamente alla rete falsa.
A quel punto, tutto il traffico della vittima passa attraverso il dispositivo del criminale. E' un classico attacco Man-in-the-Middle (MITM): il criminale si posiziona tra te e internet, vedendo — e potenzialmente modificando — tutto cio' che transita.
Ecco i passaggi nel dettaglio:
Il criminale ha bisogno di pochissimo hardware. Un portatile con una scheda Wi-Fi che supporta la modalita' access point, un software gratuito (come hostapd su Linux), e opzionalmente un'antenna per amplificare il segnale.
Crea una rete con lo stesso nome di quella legittima. "Hotel_Marriott_WiFi", "Trenitalia_FreWiFi", "Starbucks_Guest". Nessuna password richiesta, oppure la stessa password esposta nella hall dell'hotel.
I telefoni e i portatili moderni hanno una funzionalita' "comoda" ma pericolosa: si connettono automaticamente alle reti Wi-Fi che hanno gia' usato in passato. Se il tuo telefono si e' connesso una volta a "Airport_Free_WiFi", si riconnettera' automaticamente la prossima volta che vede una rete con quel nome.
Il criminale lo sa. Crea reti con nomi comuni — quelli degli aeroporti, degli hotel, dei bar — sapendo che molti dispositivi si connetteranno da soli, senza che il proprietario se ne accorga.
Una volta connesso, tutto il tuo traffico passa dal dispositivo del criminale. Se visiti un sito HTTP (senza HTTPS), vede tutto in chiaro: pagine, form, credenziali. Se usi un client email configurato con IMAP o SMTP senza TLS, vede username e password della tua casella email.
Anche con HTTPS, il criminale puo' tentare un attacco SSL stripping — forzare il downgrade della connessione da HTTPS a HTTP — o presentare certificati falsi sperando che l'utente ignori l'avviso del browser.
Potresti pensare: "Ok, ma oggi tutto e' HTTPS, quindi il rischio e' basso." E per la navigazione web hai in parte ragione. I browser moderni sono piuttosto bravi a forzare HTTPS.
Ma le email sono un discorso diverso. Ecco perche'.
Molti client email — specialmente quelli configurati anni fa — usano ancora connessioni IMAP e SMTP senza crittografia TLS. O peggio, sono configurati con l'opzione "TLS opzionale" (STARTTLS), che significa: "Usa TLS se disponibile, altrimenti vai in chiaro."
Con un evil twin, il criminale puo' fare in modo che TLS "non sia disponibile". Il client email cade silenziosamente nella modalita' in chiaro. Username e password viaggiano non protetti.
Il tuo telefono controlla la posta ogni 5-15 minuti. Automaticamente. In background. Se si connette a un evil twin, la prossima sincronizzazione IMAP avviene attraverso la rete del criminale. Non devi nemmeno aprire l'app email — il telefono lo fa da solo.
Le credenziali email non sono "solo" l'accesso alla posta. Sono la chiave per resettare le password di praticamente ogni altro servizio. Banca online, CRM, cloud storage, social media — tutti permettono il reset della password via email. Chi ha accesso alla tua email ha accesso a tutto.
Gli attacchi evil twin avvengono dove ci sono molte persone che cercano Wi-Fi gratuito.
Aeroporti: centinaia di professionisti in attesa del volo, tutti connessi al Wi-Fi, molti che controllano email di lavoro. Il paradiso per un evil twin.
Hotel: la rete Wi-Fi dell'hotel e' spesso non protetta o con una password condivisa. Il criminale puo' operare dalla stanza accanto.
Fiere e conferenze: eventi professionali dove i partecipanti si connettono al Wi-Fi dell'evento per scaricare presentazioni, scambiare email, accedere al CRM.
Bar e coworking: reti aperte, nomi prevedibili ("Bar_Centrale_WiFi"), tanti freelancer e professionisti.
Treni: i Wi-Fi di Trenitalia e Italo sono obiettivi frequenti. Ore di viaggio = ore di esposizione.
Usa una VPN. Sempre. Quando ti connetti a un Wi-Fi pubblico, attiva una VPN. Tutto il tuo traffico viene crittografato prima di lasciare il dispositivo. Anche se sei su un evil twin, il criminale vede solo dati cifrati illeggibili.
Disattiva la connessione automatica. Vai nelle impostazioni Wi-Fi del tuo telefono e disattiva "Connetti automaticamente" per le reti pubbliche. Meglio connettersi manualmente ogni volta che affidarsi al pilota automatico.
Verifica la rete. Prima di connetterti, chiedi allo staff dell'hotel o dell'aeroporto qual e' il nome esatto della rete e se richiede password. Se vedi due reti con nomi simili, non connetterti a nessuna delle due.
Preferisci la rete mobile. Se devi mandare un'email urgente, usa la connessione 4G/5G del telefono come hotspot. E' molto piu' sicura di qualsiasi Wi-Fi pubblico.
Forza TLS su tutti i client. In Outlook, Thunderbird, Apple Mail, e su ogni client email: vai nelle impostazioni del server e assicurati che la connessione sia impostata su "SSL/TLS" (porta 993 per IMAP, porta 465 o 587 per SMTP). Mai "nessuna crittografia" o "STARTTLS se disponibile".
Abilita l'autenticazione a due fattori. Anche se il criminale intercetta la password, il 2FA gli impedisce di accedere alla casella.
Qui entra in gioco MailSniper. Un gateway email professionale non protegge solo dalle email malevole in entrata. Protegge l'intero ecosistema email della tua azienda.
Enforcement TLS: MailSniper puo' essere configurato per rifiutare connessioni email non crittografate. Se un client tenta di connettersi senza TLS — magari perche' un evil twin ha fatto un downgrade — la connessione viene rifiutata. Niente TLS, niente email. Punto.
Protezione delle credenziali: con l'autenticazione multi-livello e le policy di accesso di MailSniper, anche se un criminale ottiene le credenziali IMAP, non puo' usarle per accedere al gateway o per inviare email a nome dell'utente compromesso.
Rilevamento di accessi anomali: se un account email viene acceduto contemporaneamente da Milano e da un IP in Romania, MailSniper lo rileva e puo' bloccare l'accesso sospetto.
Protezione outbound: se un account compromesso viene usato per inviare spam o phishing, il filtro outbound di MailSniper blocca i messaggi malevoli prima che raggiungano i destinatari, proteggendo la reputazione del tuo dominio.
Non devi smettere di usare il Wi-Fi in aeroporto o in hotel. Devi usarlo con consapevolezza.
VPN attiva. TLS forzato sui client email. 2FA su tutti gli account. E un gateway email che protegge la tua azienda anche quando i tuoi dipendenti si connettono da reti poco sicure.
Perche' puoi formare tutti i dipendenti sulle buone pratiche Wi-Fi. Ma basta che uno si connetta senza VPN, una volta, dal Wi-Fi sbagliato, per compromettere l'intera casella email aziendale.
Prossimi passi:
Redazione MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoIl fileless malware non lascia tracce su disco: vive in memoria, sfrutta PowerShell e macro VBA, e bypassa gli antivirus tradizionali. Ecco come arriva via email e come fermarlo.
LeggiUn attaccante compromette il tuo account e imposta una regola di inoltro invisibile. Anche dopo il cambio password, continua a leggere ogni tua email. Ecco come difenderti.
LeggiGli attacchi watering hole via email colpiscono siti web di settore per poi inviare email mirate alle vittime. Ecco come funzionano e come MailSniper ti protegge.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.