La sicurezza delle comunicazioni digitali si basa su un delicato equilibrio tra praticità e protezione. Quando questo equilibrio viene incrinato, possono emergere vulnerabilità inaspettate che trasformano i sistemi di autenticazione stessi in alleati involontari dei criminali informatici. È quanto sta accadendo con i cosiddetti DKIM replay attack, una tecnica sofisticata che sfrutta le email legittime di servizi affidabili come Apple e PayPal per condurre truffe praticamente indistinguibili dalle comunicazioni autentiche.
A differenza dei tradizionali tentativi di phishing, basati su imitazioni grossolane e facilmente identificabili, questi attacchi utilizzano messaggi realmente generati e firmati crittograficamente dalle piattaforme ufficiali, superando così tutti i controlli di sicurezza standard.
Gli ingegneri di INKY hanno documentato campagne attive che abusano di fatture, conferme di abbonamento e notifiche di dispute, dimostrando come i criminali riescano a manipolare campi apparentemente innocui per inserire istruzioni fraudolente all’interno di email completamente autentiche.
Il problema non risiede in una falla tecnica specifica, ma nell’interazione tra i protocolli di autenticazione e la libertà concessa nella personalizzazione di determinati campi informativi. Questa vulnerabilità sfrutta proprio la fiducia che riponiamo nei marchi conosciuti, trasformandola in un’arma contro chi riceve questi messaggi.
Cosa sono DKIM, DMARC e SPF
Per comprendere la pericolosità di questa minaccia occorre prima capire il ruolo dei sistemi di autenticazione email. DKIM (DomainKeys Identified Mail) è uno standard crittografico che attesta l’integrità di un messaggio attraverso una firma digitale.
Il server ricevente verifica che il contenuto non sia stato alterato dopo l’invio, utilizzando la chiave pubblica del dominio mittente.
SPF (Sender Policy Framework), invece, funziona in modo diverso: verifica che il server di posta che sta inviando il messaggio sia effettivamente autorizzato a farlo per conto di quel dominio specifico. Ogni dominio pubblica una lista di server autorizzati nei propri record DNS, e il server ricevente controlla se l’IP del mittente figura in questa lista. Se PayPal dichiara che solo i server X, Y e Z possono inviare email da @paypal.com, un messaggio proveniente da qualsiasi altro server fallisce il controllo SPF.
DMARC (Domain-based Message Authentication, Reporting & Conformance) opera a un livello superiore, controllando l’allineamento tra il dominio autenticato e l’indirizzo visibile nel campo “Da”. Considera il messaggio affidabile se almeno DKIM o SPF risultano validi e allineati con il dominio dichiarato.
Come funziona un DKIM replay attack
Gli attaccanti sfruttano precisamente questa architettura. Il processo è ingannevolmente semplice:
- L’attaccante crea un account normale su PayPal o Apple (con il suo email personale, tipo
[email protected]) - Manipola i campi personalizzabili durante la creazione di fatture/dispute su PayPal o abbonamenti su Apple, inserendo testo fraudolento nel campo “nome venditore” o “nome account”
- PayPal/Apple generano automaticamente un’email ufficiale che viene inviata dall’infrastruttura di PayPal/Apple (quindi da
[email protected]o[email protected]) all’indirizzo email dell’attaccante (quello che ha registrato) - L’attaccante riceve questa email legittima nella sua casella personale
- L’attaccante inoltra (forward) questa email alle vittime usando il suo server di posta
Poiché queste comunicazioni vengono prodotte direttamente dalle piattaforme legittime e firmate con le loro chiavi DKIM, passano ogni controllo di autenticazione. Il punto chiave è che l’email originale è stata davvero generata e firmata da PayPal/Apple, quindi la firma DKIM rimane valida anche dopo l’inoltro, perché il contenuto non viene modificato.
Quando un attaccante inoltra un’email legittima di Apple o PayPal, il controllo SPF fallisce (perché il server di inoltro non è autorizzato), ma DKIM passa comunque (perché la firma originale rimane intatta). Poiché DMARC richiede che almeno uno dei due controlli sia valido, il messaggio viene comunque considerato autentico.
Il risultato è un’email che appare in tutto e per tutto legittima: proviene da domini di alta reputazione come email.apple.com o [email protected], supera i controlli automatici e viene consegnata direttamente nella casella di posta del destinatario senza alcun avviso di sicurezza. Chi riceve questi messaggi vede conferme di abbonamento o notifiche di controversie perfettamente autentiche spesso seguite da un numero di telefono.
Perché le difese tradizionali risultano inefficaci
I sistemi di sicurezza email si affidano pesantemente ai segnali di autenticazione per distinguere messaggi legittimi da minacce. Quando un’email proviene da apple.com o paypal.com con firme crittografiche valide, i filtri automatici la classificano naturalmente come attendibile.
Tuttavia, questa logica si rivela il tallone d’Achille contro i DKIM replay attack, poiché gli attaccanti non cercano di falsificare l’origine del messaggio ma di abusare di comunicazioni genuinamente autentiche. Il problema si aggrava considerando che Apple, PayPal e piattaforme simili come DocuSign e HelloSign permettono di inserire testo libero in determinati campi senza validazione rigorosa del contenuto.
Quando un attaccante inserisce istruzioni fraudolente nel campo “nome account” o “nome venditore”, questo contenuto diventa parte integrante del corpo del messaggio firmato crittograficamente. Non esiste modo per i filtri tradizionali di distinguere quale porzione del testo sia stata generata automaticamente dal sistema e quale invece inserita con intenti malevoli.
La fiducia implicita nei marchi riconosciuti aggrava ulteriormente la situazione. Chi riceve una conferma di abbonamento da Apple o una notifica di controversia da PayPal raramente metterà in discussione la legittimità della comunicazione.
I criminali sfruttano questa fiducia per indurre le vittime a chiamare numeri telefonici controllati da loro, dove procederanno a raccogliere dati di pagamento, informazioni personali o convinceranno chi chiama a installare software di accesso remoto presentandosi come supporto tecnico ufficiale.
L’efficacia di questi attacchi risiede proprio nel fatto che non c’è tecnicamente nulla di falso: il messaggio è autentico, la firma è valida, il dominio è quello corretto. Solo il contenuto inserito nei campi personalizzabili tradisce l’inganno, e questo sfugge completamente ai controlli automatizzati tradizionali.
Difendersi dall’invisibile: strategie di prevenzione e consapevolezza
Occorre comprendere che l’autenticazione DKIM non garantisce l’assenza di contenuti malevoli, ma solo che il messaggio proviene effettivamente dal dominio dichiarato. Per contrastare efficacemente i DKIM replay attack, diventa fondamentale ispezionare manualmente gli header delle email sospette, verificando in particolare se l’indirizzo nel campo “A” corrisponde effettivamente al destinatario previsto.
Una discrepanza tra l’indirizzo visibile e il destinatario effettivo costituisce un chiaro indicatore di inoltro non autorizzato. Per chi non ha queste conoscenze tecniche, chi riceve email deve sviluppare un sano scetticismo verso qualsiasi numero telefonico presente in comunicazioni inaspettate, indipendentemente dalla loro apparente autenticità.
Le aziende legittime come Apple e PayPal invitano sempre ad accedere direttamente ai loro siti ufficiali per gestire account e controversie, mai a chiamare numeri forniti via email. Quando ricevi una notifica relativa a transazioni, abbonamenti o problematiche di sicurezza, la prassi corretta consiste nell’ignorare eventuali link o contatti presenti nel messaggio e visitare autonomamente il sito ufficiale digitando manualmente l’indirizzo o utilizzando app certificate.
Bisogna essere consapevoli che anche email perfettamente autentiche possono contenere truffe e cambiare radicalmente l’approccio alla sicurezza.
