logo grande web4human blog

in Sicurezza | -November-17 | | 0

Riconoscere un messaggio e-mail lecito e individuare le email phishing

Come abbiamo visto in un articolo precedente, tra la moltitudine di email che puoi ricevere, si nascondono pericoli di ogni genere. Verificare l’identità della persona o dell’ente che ti sta scrivendo, smascherando le mail “travestite”, non è sempre semplice e intuitivo ma ci sono indizi che ti possono portare sulla giusta strada.

parti componenti del nome di dominio

Prima di poter fare un esempio ti devo spiegare una cosa semplice sui nomi di dominio. I nomi di dominio sono divisi in diverse parti.Partendo da destra andando verso sinistra, possiamo trovare (1) l’estensione di dominio come prima cosa (.it, .com. .net, etc…), seguito (2) dal nome vero e propirio del dominio in quell’ambito di estensione, e successivamente (3) dai terzi livelli.

gli indirizzi email si ‘agganciano’ al dominio seguendo lo schema nome_casella@nome_dominio.estesione

Name from e Mail from: Un travestimento per ingannarti

Partiamo dalle informazioni del mittente. Le email hanno dei campi chiamati header nei quali vengono visualizzate alcune informazioni utili.Il fatto che alcune di queste informazioni siano ‘editabili’ in fase di invio dei messaggi rende possibile la prima forma di inganno che andiamo a vedere:

Le mail possiedono due campi utilizzati per identificare il mittente, i campi in questione sono mail from e name from. Nel dettaglio questi campi si occupano di dirvi da quale indirizzo email arriva il messaggio e qual’è il nome del mittente. Mentre il primo campo viene controllato dal mailserver tramite un sistema di risoluzione del nome definito SPF ( l’argomento SPF è troppo complesso per essere trattato in questa sezione del blog ), il secondo campo è assolutamente arbitrario e non può ricevere alcun tipo di controllo o filtro. Questo campo è utilizzato dai client di posta, i programmi che utilizzate per scaricare le email, come ad esempio thunderbird o outlook ma anche dai webmail, per indicarvi rapidamente il mittente in un formato più Human-readble rispetto a un elenco di indirizzi email.

ora essendo il campo name from arbitrario, nulla mi impedisce di inviare una mail da un mio indirizzo facendo si che il destinatario veda direttamente il mio nome o quello del reparto della mia organizzazione anziché mostrare subito il mio indirizzo di mittenza. Ad esempio potrei inviare una mail da info@web4human.it e chiedere che il i client di posta mostrino il nome “W4H Blog” anziché l’indirizzo. Questa cosa è usatissima da tutti, e ci porta finalmente al nostro malintenzionato che quando ti scriverà una mail lo farà utilizzando un name from fuorviante per te, destinato a farti credere di ricevere una comunicazione lecita da parte di un altra persona o ente fidato, ad esempio, potrebbe inviarti una mail dall’indirizzo abc.xyyzzz.it che però mostri il nome di Telecom italia, Paypal, equitalia, etc…

Quando non sei certo, verifica sempre il campo indirizzo email completo del mittente e confrontalo con il campo nome per vedere se c’è una discrepanza, un ente non ti invierà mai una mail da una casella al di fuori del proprio domino di appartenenza.

esempio di email contraffatta - telecom

nell’ immagine possiamo vedere:

  •  al punto 1 il campo name from, 
  •  al punto 2 il campo mail from
  •  al punto 3 una action richiesta ( quella che ti farà scaricare un cryptolocker di cui abbiamo già discusso nell’ articolo precedente )

Ovviamente in casi come quello in figura, il vero proprietario della casella email e del dominio non ha parte nella truffa, è una vittima anche lui, colpevole solo di scarsa sicurezza della propria casella che è stata rubata dal malintenzionato.

Nomi di dominio fuorvianti
abbiamo visto rapidamente la struttura dei nomi di dominio, ora cercherò di farti capire i metodi e le tecniche di ingegneria sociale coi quali cercano di confonderti le idee.

 

Nell’immaginedi seguito, puoi vedere una variante del nome di dominio nella quale è stato inserito un terzo livello. L’estensione è it, l’organizzazione è abc mentre xyz è un estensione di dominio di abc e quindi è una sua proprietà. Queste estensioni sono dette terzi livelli. Il nome del terzo livello può essere qualunque cosa venga decisa dal proprietario del dominio principale di secondo livello.

esempio di dominio di terzo livello

nella prossima immagine invece vediamo una configurazione simile che potrebbe appunto trarti in inganno. Infatti in questo caso l’organizzazione non è più abc, ma xyz e abc essendo un nome da te conosciuto (telecom, enel, paypal, postapay etc….) viene usato come terzo livello.

esempio di terzo livello contraffatto

guarda sempre bene l’indirizzo del mittente e concentra la tua attenzione sull’ estensione e sul secondo livello, partendo da destra, prendi i primi due campi separati da punto: abc.it

Altri segni

Ci sono una miriade di altri segnali che possono farti capire che la mail non è lecita. Elenchiamone brevemente alcune situazioni a cui prestare attenzione:

  • Gli operatori telefonici non ti mandano mai documenti e richieste di denaro via email
  • i malintenzionati utilizzano liste di possibili bersagli e fanno generare le email a sistemi automatici. Questo comporta piccoli errori di sintassi, ortografia e traduzione nei testi delle email , es. articoli sbagliati, nomi e ragioni sociali assenti, sbagliati o incompleti.
  • La tua banca non ti chiederà mai le tue credenziali di accesso o i tuoi pin operativi. Una richiesta di questo tipo è da cestinare immediatamente
  • Qualunque altra situazione fuori agli schemi ordinari è da reputare potenzialmente dannosa.

Ricordate che i testi e tutto il lavoro di phishing è frutto di ingegneria sociale, studiato ad-hoc per convincervi a eseguire una determinata azione. Cercano di attaccarti psicologicamente, infondendo fiducia utilizzando il nome di un ente a te familiare, paura minacciando un distaccamento dei servizi  o una perdita di dati/denaro e in fine guidandovi verso la pericolosissima action “clicca qui e scarica l’ allegato” !!!!

Data pubblicazione: 04-November-17 / Ultima modifica: 18-January-18

Ti è piaciuto l'articolo? Condividilo!
Commenti

Accedi o registrati per lasciare un commento.

Link Sponsorizzato