Le Botnet sono reti costituite da PC e server di comuni aziende infettati con dei malware chiamati Bot, che hanno lo scopo di restare dormienti in attesa di istruzioni da parte del server C&C (Command & Control), la regia di ogni Botnet.
Lo scopo di una Botnet è quello di lanciare attacchi restando nascosti e di poter disporre di una grande capacità di calcolo, derivante dalla somma delle risorse computazionali di migliaia di macchine, che al momento dell’attacco si attivano contemporaneamente sotto il comando del C&C.
I dati raccolti da Check Point tramite un’analisi condotta nel corso di tutto il 2016 hanno evidenziato che il 75% delle aziende prese in esame hanno un’infezione da Bot e che ogni 53 secondi uno di essi comunica con il suo C&C.
Questi risultati si riferiscono ai dati emersi da circa 1.100 security assessment dei quali il 35% sono stati svolti in aziende Europee.
Ogni Botnet ha la sua missione per cui anche il malware Bot è progettato sulla base del compito specifico che dovrà svolgere. Uno degli scopi più comuni è lanciare campagne di Spam, ovvero l’invio di migliaia di messaggi verso database di contatti precedentemente raccolti.
Anche se i membri della Botnet non sono i target dell’attacco per il quale è stata progettata, non significa che questi, di riflesso, non abbiano delle ripercussioni negative, ed è proprio su questo aspetto che un antispam evoluto può aiutarci.
Nel caso di una campagna di Spam, quando il tuo client infetto riceve l’ordine di lanciare l’invio massivo di email, corri il rischio che l’indirizzo IP del tuo server di posta venga inserito in una blacklist e per questo i sistemi dei tuoi clienti e fornitori non accettino più i tuoi messaggi, perché sei stato individuato come sorgente di spam.
In ogni caso anche se dovessi avere la fortuna di non essere iscritto formalmente in una blacklist, la reputazione del tuo sistema di posta agli occhi di Internet viene compromessa, perché rimane traccia di un invio massivo in un intervallo di tempo limitato, interpretato come anomalia perché non coerente con il tuo comportamento abituale di invio.
Devi sapere che oltre alle blacklist, ovvero database di IP e domini che sono già noti come sorgente di spam, esistono dei servizi che aiutano ad individuare la pericolosità delle sorgenti non ancora definite chiaramente come tali, questo è possibile farlo monitorando il loro comportamento.
Ci sono antispam evoluti che oltre alla verifica delle blacklist tradizionali, attingono a questi ulteriori servizi per affinare il controllo della reputation del mittente.
Venendo al sodo:
Questo succede spesso perché:
Ma tranquilli, anche se non disponiamo di una Sandbox, esiste una soluzione semplice e sicura e i programmi antispam sono i candidati ideali per metterla in pratica.
Se abbiamo un mail gateway evoluto può essere configurato per contare le mail che ogni casella di posta del nostro dominio invia in un determinato intervallo di tempo. Questo controllo serve per monitorare la quota e confrontarla con una soglia definita arbitrariamente, oltre la quale impedisce l’invio per quella casella almeno fino a quando il reparto IT non ha capito e risolto la situazione.
Questo evita di raggiungere volumi di posta in uscita eccessiva e perciò tutela la reputation del nostro sistema, facendo in modo che tutti ricevano le nostre email, oltre che, naturalmente, ostacolare la riuscita dell’attacco.
Scarica questa guida per approfondire come un antispam ti può aiutare a salvaguardare l’integrità del tuo sistema di posta elettronica.