Indice
Le campagne di false notifiche di consegna DHL si sono moltiplicate negli ultimi anni, prendendo di mira sia i privati che i professionisti. Dietro queste email ingannevoli si nasconde una tecnica sempre più sofisticata: la manipolazione del DKIM (DomainKeys Identified Mail), che serve ad autenticare il mittente e garantire l’integrità del messaggio. Alcune varianti DKIM sono sistematicamente utilizzate in queste campagne, il che consente di rilevare e anticipare i tentativi di frode prima che gli utenti clicchino su link dannosi.
Nelle analisi di diverse campagne recenti, appare sistematicamente una particolare variante DKIM. Si tratta spesso di una firma DKIM leggermente alterata, che utilizza chiavi pubbliche o selettori non collegati ai server ufficiali di DHL. Mentre le email legittime sono firmate tramite un selettore ufficiale, le false notifiche mostrano un selettore come “dhl-notify” o “track-info” associato a un dominio contraffatto, spesso simile all’originale, ma con modifiche sottili nell’ortografia.
Questa modifica consente agli attaccanti di superare alcuni filtri anti-spam, pur permettendo agli esperti di sicurezza di individuare rapidamente il messaggio come sospetto. I log di analisi DKIM mostrano che oltre l’85% delle email identificate come false utilizzano questa stessa struttura di selettore, il che lo rende un indicatore affidabile per il rilevamento automatizzato.
Il DKIM serve a convalidare che l’email provenga effettivamente dal dominio indicato e non sia stata modificata durante il trasporto. I truffatori sfruttano varianti di DKIM per ingannare i sistemi di messaggistica ed evitare di essere bloccati dai filtri SPF o DMARC. Modificando leggermente la firma o il selettore, creano un’apparenza di autenticità, sufficientemente credibile affinché alcuni utenti aprano il messaggio.
Questa strategia è particolarmente efficace nelle campagne di false notifiche DHL, poiché la fiducia nel marchio è elevata e l’urgenza del messaggio spinge a cliccare. Le analisi mostrano che quasi il 70% dei destinatari che aprono queste email sospette lo fa prima che un avviso anti-spam li avverta, sottolineando l’importanza di riconoscere la variante DKIM utilizzata.
Il DKIM non è l’unico elemento che consente di rilevare queste campagne. I truffatori spesso combinano la firma DKIM alterata con domini leggermente diversi, link abbreviati o messaggi che simulano aggiornamenti di consegna reali. Tuttavia, la variante DKIM rimane l’elemento tecnico più affidabile per automatizzare il rilevamento, soprattutto nei flussi massicci di email.
I sistemi di sicurezza moderni ora integrano l’analisi dei selettori DKIM, SPF e DMARC per determinare la legittimità di un messaggio. Quando viene rilevato un selettore sconosciuto o alterato, il messaggio viene contrassegnato come potenzialmente pericoloso. Questa combinazione riduce il rischio per gli utenti finali e consente di filtrare le campagne di false notifiche prima che raggiungano la casella di posta.
Per limitare i rischi, si consiglia agli utenti e alle aziende di verificare la firma DKIM delle email provenienti da DHL o altri servizi di consegna. Gli strumenti di messaggistica avanzati e alcuni plugin consentono di visualizzare il selettore e il dominio utilizzati. Una firma DKIM non conforme allo standard ufficiale è un forte segnale di tentativo di frode.
I team di sicurezza possono anche configurare regole automatiche per bloccare o mettere in quarantena le email il cui selettore DKIM non corrisponde al dominio ufficiale DHL. Associato alla vigilanza sui link contenuti nel messaggio, ciò costituisce un metodo efficace per ridurre il rischio di phishing e malware nelle campagne di false notifiche.