Sicurezza in rete: il DMARC per combattere il phishing

Un gruppo di giganti della comunicazione digitale –tra cui Google, Facebook, PayPal, Yahoo, Microsoft e membri della Online Trust Alliance – lanciano un nuovo sistema per contrastare in modo decisivo il phishing, ovvero il furto di informazioni sensibili come le password degli account attraverso nomi e link finti (il caso più eclatante italiano è l'account delle Poste).

L'acronimo è DMARC (Domain-based Message Authentication, Reporting & Conformance) e si basa su sistemi di autenticazione già esistenti: lo SPF (Sender Policy Framework), un protocollo tramite il quale è possibile definire da dove viene spedita la posta elettronica, e il DKIM (DomainKeis Identified Mail) che certifica il contenuto dei messaggi tramite l'apposizione della firma digitale. Se i service provider del ricevente riconoscono i certificati di autenticazione, il messaggio verrà convogliato verso i filtri anti-spam. Chi manda un messaggio può segnalare se esso è protetto da SPF e/o DKIM, indicando al ricevente cosa fare se il messaggio non passa il DMARC (ad esempio, metterlo nella casella “spam” o cancellarlo). In questo modo viene ridotta la possibilità che il ricevente erroneamente possa leggere il messaggio o aprire allegati. Allo stesso tempo il ricevente, attraverso il DMARC, può mandare un report a chi ha inviato su quali sono i messaggi bloccati dal sistema. Il sistema può inviare i link “cattivi” ai browser, affinché essi vengano bloccati. Un sistema di “collaborazione” bilaterale che esisteva già ma era di scarsa applicazione, poiché la mole ingestibile di traffico impediva un monitoraggio accurato e un report dei problemi efficace.

Di seguito uno schema riassuntivo del funzionamento:

L'applicazione del sistema DMARC coinvolge i giganti del mailing (Hotmail, Google, Yahoo! Mail) i fornitori di servizi economici come PayPal, vittima di azioni di phishing che hanno causato perdite incalcolabili, fino ai social come Facebook o LinkedIn. In attesa che l'IETF (Internet Engineering Task Force) elabori un protocollo comune standard per qualsiasi sistema, sul sito dmarc.org è già possibile registrare il proprio dominio.

Tra gli altri sostenitori del progetto: Agari, American Greetings, Aol, Bank of America, Cloudmark, Comcast, Fidelity, ReturnPath, TDP e aziende che si occupano nello specifico di sicurezza come Bits Financial Services Roundtable e Maawg – Messaging Malware Mobile.

V.R.

Commenta questo articolo.