Allegati come gateway per malware
Sin dai suoi inizi, l’e-mail si è affermata come mezzo di comunicazione rapido e semplice. Oltre all’invio di testi normali, l’e-mail è adatta anche per scambiare rapidamente piccoli file come documenti di testo o immagini.
Sebbene siano ora disponibili vari servizi di condivisione file basati su cloud, l’e-mail è spesso la prima scelta per inviare velocemente file come documenti di testo o foto a uno o più destinatari. Tuttavia, ciò che può sembrare utile in un ambiente privato, può essere problematico nell’Email marketing, o in generale, quando si comunica con i clienti per e-mail. Soprattutto con le mail di transazione, che spesso sono attese con urgenza dal cliente e talvolta contengono dati sensibili, ciò può causare problemi. Le sfide correlate e le possibili conseguenze le spieghiamo di seguito:
Gli allegati sono una “porta d’ingresso” popolare e frequente per i malware. Se un criminale è interessato a inviare phishing, vorrà deliberatamente dare l’impressione che la spedizione provenga da una fonte affidabile. A seconda del tipo di phishing, questo potrebbe ad es. essere il supervisore, un fornitore di servizi finanziari o una compagnia di assicurazioni. Ciò aumenta la probabilità e il pericolo che questi allegati vengano davvero aperti. Nella maggior parte dei casi, gli allegati vengono anche manipolati per sfruttare le vulnerabilità di sicurezza dell’applicazione (ad es. visualizzatore PDF), client di posta elettronica o sistema operativo per infettare il computer del destinatario di posta elettronica.
Una volta sotto il controllo del criminale, il computer può diventare inosservato in una rete di bot e quindi inviare spam o partecipare agli attacchi DDoS. Allo stesso modo, un criminale in questo modo può ottenere l’accesso a tutti i dati sul computer del destinatario dell’e-mail. A causa di questi gravi rischi, i provider di cassette postali e i filtri antispam controllano gli allegati in modo accurato. Di conseguenza, la consegna di queste e-mail può essere influenzata negativamente. I client di posta elettronica inoltre avvisano o impediscono parzialmente il caricamento e l’esecuzione degli allegati. L’effetto sarebbe che i destinatari non ricevono queste e-mail o che non leggono gli allegati.
La crittografia mancante significa un’insufficiente protezione dei dati
Non tutti i server di posta elettronica su Internet supportano STARTTLS come crittografia di trasporto. Questa procedura per avviare la crittografia di una comunicazione mediante Transport Layer Security viene utilizzata per inviare, inoltrare o ricevere le e-mail in modo sicuro in modo crittografato. Senza STARTTLS, il contenuto dell’e-mail e gli allegati corrispondenti possono essere letti da terzi.
Anche con STARTTLS, esiste ancora il pericolo di un attacco “man-in-the-middle” (attacco MITM), che può intercettare le e-mail. Un livello più elevato di sicurezza può essere raggiunto solo attraverso protocolli aggiuntivi come DANE e DNSSEC. Tuttavia, questi non sono ancora stabiliti sul mercato. Inoltre, esiste il rischio che il destinatario recuperi inconsapevolmente le proprie e-mail non crittografate dalla cassetta postale in una rete non sicura. Non di rado, le e-mail o gli allegati contengono contenuti sensibili come informazioni di pagamento o informazioni assicurative o sanitarie che non devono essere lette da persone non autorizzate.
Come mittente, dovresti quindi considerare quali informazioni puoi inviare via e-mail e quali danni possono verificarsi se tali informazioni dovessero cadere nelle mani sbagliate. Il mittente è ritenuto responsabile se i dati personali sono divulgati pubblicamente. In questo caso, si applicano le disposizioni degli articoli 32 e seguenti DSGVO. La perdita di sicurezza deve essere segnalata alle autorità di vigilanza e all’interessato. Le autorità possono quindi imporre sanzioni allo speditore, vd. l’articolo 58 del GDPR.
A parere degli esperti della Certified Senders Alliance (CSA), gli allegati di posta elettronica dovrebbero essere evitati nell’ambiente commerciale per questi motivi. Un’alternativa consigliata per gli allegati di posta elettronica è un link (o deep link) per lo scaricamento di file nel proprio portale clienti. Lì, il cliente può visualizzare o scaricare i documenti assegnati utilizzando una connessione protetta TLS. L’utente ha anche la possibilità di gestire centralmente i suoi documenti senza dover cercare singoli allegati nel suo client di posta elettronica sovraffollato. Un accesso regolare al portale crea anche un’ulteriore fidelizzazione dei clienti e l’opportunità di pubblicizzare ulteriori offerte.
La Certified Senders Alliance CSA è un progetto di whitelisting dell’associazione Internet eco e.V. e della German Dialogue Marketing Association (DDV). Per informazioni aggiornate sul lavoro della CSA, sulla certificazione CSA e gli ultimi aspetti tecnici e legali dell’email marketing, visita il sito https://certified-senders.org/