Fake email, come verificarla
Sono sempre più frequenti campagne di fake email intimidatorie come questa:
Ciao!
Hai notato di recente che ti ho inviato un’e-mail dal tuo account?
Sì, questo vuol dire semplicemente che ho accesso al tuo dispositivo.
Ti sto osservando da un paio di mesi.
Ti stai chiedendo come sia possibile? Bene, sei stato infettato da un malware proveniente da un sito per adulti che hai visitato.
a seguire pretendono pagamenti in cripto valuta con l’intimidazione della pubblicazione di video o audio registrati con questi fantomatici malware. A prima vista queste fake email potrebbero trarci in inganno perchè se guardiamo il mittente sarà una nostra email o magari lo standar postmaster@nostrodominio.
Come verifichiamo chi è il vero mittente della fake email?
Purtroppo il mittente che leggiamo nella fake email può essere falsificato e non è l’unico parametro che può essere modificato. La soluzione che vi propongo è di andare a vedere gli headers della mail per avere un quadro dettagliato di cosa sia arrivato. Vediamo un esempio:
Received: from DB7PR07MB5499.eurprd07.prod.outlook.com (2603:10a6:10:7d::28)
by AM6PR07MB6071.eurprd07.prod.outlook.com with HTTPS; Tue, 19 Jan 2021
14:14:55 +0000
Received: …
Received: …
Authentication-Results: spf=pass (sender IP is 51.77.89.121)
smtp.mailfrom=otts.it; nostrodominio.it; dkim=pass (signature was verified)
header.d=otts.it;nostrodominio.it; dmarc=pass action=none
header.from=otts.it;compauth=pass reason=100
Received-SPF: Pass (protection.outlook.com: domain of otts.it designates
51.77.89.121 as permitted sender) receiver=protection.outlook.com;
client-ip=51.77.89.121; helo=mail.otts.it;
Received: from mail.otts.it (51.77.89.121) by
DB5EUR03FT039.mail.protection.outlook.com (10.152.21.120) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.3763.12 via Frontend Transport; Tue, 19 Jan 2021 14:14:52 +0000
Received: from net-93-145-204-4.cust.vodafonedsl.it ([93.145.xxx.xxx] helo=[192.168.2.6])
by gfra01ispn1.otts.it with esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
(Exim 4.94)
(envelope-from marco.trentin@otts.it)
id 1l1rmQ-0006tM-0j
for marco.trentin@nostrodominio.it; Tue, 19 Jan 2021 15:14:46 +0100
To: marco.trentin@nostrodominio.it
From: Marco Trentin marco.trentin@otts.it
Subject: Mail di prova
Message-ID: 266f84ba-464e-5f03-6826-27b041e4b606@otts.it
Date: Tue, 19 Jan 2021 15:14:44 +0100
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101
Thunderbird/78.6.0
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”————EB2338F680A609A3A8D716F7″
Content-Language: it
X-Scanned-By: ClamAV 0.102.4; Tue, 19 Jan 2021 15:14:46 +0100
Return-Path: marco.trentin@otts.it
X-MS-Exchange-Organization-ExpirationStartTime: 19 Jan 2021 14:14:52.1893
(UTC)
X-MS-Exchange-Organization-ExpirationStartTimeReason: OriginalSubmit
X-MS-Exchange-Organization-ExpirationInterval: 1:00:00:00.0000000
X-MS-Exchange-Organization-ExpirationIntervalReason: OriginalSubmit
X-MS-Exchange-Organization-Network-Message-Id:
ec2b19fd-f71a-4953-fa56-08d8bc8496a2
X-EOPAttributedMessage: 0
X-EOPTenantAttributedMessage: d6c1a499-4fae-4f2b-b4f4-f60ffb6bdb84:0
X-MS-Exchange-Organization-MessageDirectionality: Incoming
……….
I campi che ci servono sono quelli evidenziati:
- Received: questa voce è tra le più importanti se non quella più importante, in quanto ci permette di vedere i salti della email fino ad arrivare a noi, riuscendo così a vedere il server originario di inoltro.
Nel nostro esempio l’ip di partenza è 93.145.204.4 ed identifica il modem a cui sono collegato, il secondo passaggio è il server email mail.otts.it e così via fino alla destinazione. - Authentication-Results: qui troviamo 3 informazioni importanti SPF, DKIM e DMARC.
SPF è un protocollo che si basa sui DNS del tuo nome di dominio, permette di certificare che l’IP mittente ha effettivamente il diritto d’inviare l’email. Questo protocollo è usato per prevenire un uso fraudolento del nostro nome di dominio e evitare che terzi fingano di essere noi.
Il protocollo DKIM è un protocollo crittografico che si basa sull’uso di chiavi pubbliche pubblicate nei DNS. Il protocollo ci permette di firmare le email con il nostro nome di dominio, come se firmassimo una lettera con la nostra firma. Il destinatario dell’email è sicuro che siamo davvero noi ad aver scritto l’email e che questa non è stata alterata durante la trasmissione.
I due protocolli DKIM e SPF sono complementari e rispondono a diversi tipi di attacchi. Tuttavia presentano l’inconveniente di non dare dei suggerimenti utili in caso di attacco. Il protocollo DMARC rimedia a questa mancanza e dà delle indicazioni in caso di attacco: in particolare puoi essere informato se qualcuno usurpasse la tua identità. - Received-SPF: questo campo ci da ulteriori informazioni relative al SPF
- X****: tutti i campi che iniziano con la X sono righe generate dai mail server o dai tool di sicurezza i quali analizzano l’autenticità, filtri anti spam ecc ecc poco utili per la nostra analisi
- Tutti gli altri campi sono parlanti e non li analizzaremo
Fake email a confronto
FAKE EMAIL:
Received: from DB6PR0701MB2792.eurprd07.prod.outlook.com (2603:10a6:4:22::21)
by AM6PR0702MB3558.eurprd07.prod.outlook.com with HTTPS; Tue, 19 Jan 2021
08:21:36 +0000
Received: from AM5PR0701CA0057.eurprd07.prod.outlook.com (2603:10a6:203:2::19)
by DB6PR0701MB2792.eurprd07.prod.outlook.com (2603:10a6:4:22::21) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3784.6; Tue, 19 Jan
2021 08:21:34 +0000
Received: from AM5EUR03FT012.eop-EUR03.prod.protection.outlook.com
(2603:10a6:203:2:cafe::72) by AM5PR0701CA0057.outlook.office365.com
(2603:10a6:203:2::19) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3784.6 via Frontend
Transport; Tue, 19 Jan 2021 08:21:34 +0000
Authentication-Results: spf=fail (sender IP is 37.142.9.219)
smtp.mailfrom=nostrodominio.it; nostrodominio.it; dkim=none (message not signed)
header.d=none;nostrodominio.it; dmarc=none action=none
header.from=nostrodominio.it;compauth=fail reason=601
Received-SPF: Fail (protection.outlook.com: domain of nostrodominio.it does not
designate 37.142.9.219 as permitted sender) receiver=protection.outlook.com;
client-ip=37.142.9.219; helo=dynamic-77-137-150-128.hotnet.net.il;
Received: from dynamic-77-137-150-128.hotnet.net.il (37.142.9.219) by
AM5EUR03FT012.mail.protection.outlook.com (10.152.16.161) with Microsoft SMTP
Server id 15.20.3763.12 via Frontend Transport; Tue, 19 Jan 2021 08:21:33
+0000
REAL EMAIL:
Received: from VI1PR07MB5470.eurprd07.prod.outlook.com (2603:10a6:803:bb::23)
by AM6PR07MB6071.eurprd07.prod.outlook.com with HTTPS; Tue, 19 Jan 2021
08:16:04 +0000
Authentication-Results: nostrodominio.it; dkim=none (message not signed)
header.d=none;nostrodominio.it; dmarc=none action=none header.from=nostrodominio.it;
Received: from (2603:10a6:802:68::32) by
VI1PR07MB5470.eurprd07.prod.outlook.com (2603:10a6:803:bb::23) with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.3784.4; Tue, 19 Jan 2021 08:16:03 +0000
Received: from VI1PR07MB4272.eurprd07.prod.outlook.com
([fe80::3984:3bec:320e:f52e]) by VI1PR07MB4272.eurprd07.prod.outlook.com
([fe80::3984:3bec:320e:f52e%6]) with mapi id 15.20.3784.010; Tue, 19 Jan 2021
08:16:02 +0000
Queste due email sono arrivate entrambe sullo stesso account office365 ed entrambe avevano come mittente un utente di dominio, come si può vedere nella fake email il server mail di partenza non centra nulla con l’office365 e giustamente anche il protocollo SPF ci risponde con un FAIL, ad indicare che qualcuno ha falsificato la email.
