Impersonazione: Impersonation (T1656)

La simulazione di attacchi di impersonazione richiede una combinazione di tecniche di social engineering e manipolazione tecnica dei sistemi di posta elettronica. Per replicare efficacemente questi attacchi in ambiente controllato, è fondamentale comprendere come gli attaccanti manipolano le intestazioni email e creano identità credibili.

Su sistemi Windows, è possibile utilizzare PowerShell per inviare email con intestazioni modificate: Send-MailMessage -From "CEO@legitimate-company.com" -To "finance@target.com" -Subject "Urgent Wire Transfer Required" -Body "Please process immediately" -SmtpServer "mail.attacker.com" -Port 587

Per sistemi Linux, sendmail offre controllo granulare sulle intestazioni: echo -e "From: CEO Display Name ceo@spoofed-domain.com\nTo: victim@company.com\nSubject: Urgent Request\n\nPlease review attached invoice" | sendmail -f attacker@real-domain.com victim@company.com

La creazione di domini simili (typosquatting) aumenta la credibilità dell'impersonazione. Strumenti come dnstwist possono identificare varianti di dominio efficaci, mentre certbot permette di ottenere certificati SSL legittimi per questi domini, aumentando ulteriormente la fiducia apparente.

Per test più avanzati, è possibile configurare server SMTP personalizzati con Postfix su Linux, permettendo completo controllo su SPF, DKIM e DMARC. Questo simula scenari realistici dove gli attaccanti bypassano i controlli di autenticazione email standard. La configurazione di relay aperti temporanei in laboratorio permette di testare la resilienza dei filtri antispam aziendali.

La detection dell'impersonazione richiede un approccio multilivello che combini analisi comportamentale, verifica delle intestazioni email e correlazione contestuale. I SOC devono configurare regole che bilancino sensibilità e specificità per ridurre i falsi positivi mantenendo alta efficacia.

Il monitoraggio delle discrepanze tra display name e indirizzo SMTP reale rappresenta il primo livello di difesa. Query SIEM efficaci devono analizzare i log di Exchange o M365 cercando pattern come: DisplayName="CEO John Smith" AND SMTPFrom NOT LIKE "%@company.com". Particolare attenzione va posta ai messaggi contenenti parole chiave ad alta urgenza come "payment", "wire transfer" o "urgent" combinati con richieste di azione immediata.

L'analisi dei fallimenti di autenticazione SPF, DKIM e DMARC fornisce indicatori tecnici affidabili. Eventi con SPF=fail o DKIM=fail provenienti da domini simili a quelli aziendali richiedono investigazione immediata. La correlazione temporale tra questi fallimenti e l'attività di login anomala può rivelare campagne coordinate.

Per ambienti Microsoft 365, il monitoraggio di eventi SendAs e SendOnBehalf con nuove deleghe o modifiche recenti identifica potenziali compromissioni di account utilizzate per impersonazione interna. Alert su EventType="Set-MailboxPermission" seguiti da SendAs entro 24 ore catturano questo pattern.

L'implementazione di baseline comportamentali per dirigenti e ruoli critici permette di identificare anomalie nelle comunicazioni. Deviazioni significative nel volume di email inviate, destinatari inusuali o modifiche nei pattern di comunicazione generano alert contestualizzati che riducono il rumore di fondo mantenendo alta precisione nel rilevamento.

L'analisi forense di attacchi di impersonazione richiede la ricostruzione meticolosa della catena di eventi, dall'acquisizione iniziale delle informazioni sulla vittima fino all'esecuzione dell'attacco. Gli artefatti digitali raccontano una storia che il forensic analyst deve saper interpretare correttamente.

I message tracking logs di Exchange contengono dettagli cruciali sulle email di impersonazione. L'analisi dei campi MessageID, InternetMessageID e dei vari hop SMTP permette di tracciare il percorso completo del messaggio. Header come X-Originating-IP e Received rivelano l'infrastruttura dell'attaccante, mentre Authentication-Results documenta i fallimenti SPF/DKIM.

Su sistemi Windows compromessi, l'analisi di Outlook OST/PST files può rivelare comunicazioni precedenti utilizzate per costruire profili credibili delle vittime. La cache di autocompletamento di Outlook (stream_autocomplete files) mostra quali contatti sono stati impersonati frequentemente. I log di Windows Security (EventID 4624) correlati temporalmente con l'invio di email anomale indicano possibili compromissioni di account.

Per ambienti cloud, i log di audit di M365 Unified Audit Log forniscono visibilità completa sulle attività di impersonazione. Eventi come MailItemsAccessed, seguito da SendAs operations, creano pattern forensi distintivi. La timeline deve includere anche l'analisi di eventuali modifiche alle regole di posta (New-InboxRule) utilizzate per nascondere le risposte delle vittime.

L'analisi del browser history e dei web proxy logs rivela spesso la fase di reconnaissance, dove gli attaccanti raccolgono informazioni su organigrammi aziendali e relazioni di fiducia attraverso LinkedIn o siti aziendali pubblici. Correlando questi accessi con successive email di impersonazione si completa il quadro dell'attacco.

L'impersonazione rappresenta una tecnica prediletta da diversi gruppi APT sofisticati, ciascuno con peculiarità operative distintive che permettono attribution e prediction delle mosse successive.

Kimsuky (G0094), gruppo nordcoreano attivo dal 2012, ha perfezionato l'impersonazione di istituzioni accademiche e ONG per raccogliere intelligence sulla penisola coreana. Il gruppo utilizza modelli linguistici AI per migliorare la credibilità delle comunicazioni, rappresentando un'evoluzione significativa nelle capacità di social engineering. I loro attacchi seguono pattern prevedibili: targeting iniziale di think tank, seguito da lateral movement verso obiettivi governativi.

APT41 (G0096), nexus criminale-statale cinese, combina impersonazione con obiettivi finanziari e di spionaggio. La loro specialità include l'impersonazione di dipendenti di aziende videoludiche per compromettere supply chain del settore tecnologico. Pattern ricorrenti mostrano campagne coordinate durante periodi di lancio prodotti o fusioni aziendali.

Scattered Spider (G1015) eccelle nell'impersonazione telefonica di help desk IT, utilizzando informazioni raccolte per bypassare MFA. Il gruppo mantiene "playbook" dettagliati per diversi fornitori di servizi, permettendo impersonazioni convincenti. Microsoft Teams è diventato il loro vettore preferito per fingere di essere supporto IT interno.

LAPSUS$ (G1004) ha dimostrato capacità uniche nell'impersonazione multicanale, combinando chiamate vocali, SMS e comunicazioni digitali per massimizzare la pressione psicologica sulle vittime. I loro attacchi mostrano tempistiche studiate per sfruttare periodi di stress organizzativo come fine trimestre o durante incident response attivi.

Framework MITRE ATT&CK - T1656 Impersonation. Documentazione campagne Operation Dream Job (C0022), Scattered Spider C0027, Salesforce Data Exfiltration (C0059). Profili dettagliati gruppi APT: Kimsuky, APT41, LAPSUS$, Scattered Spider, APT42. Risorse detection: CrowdStrike BEC analysis, CISA Scattered Spider Advisory, Microsoft Storm-1811 research.