Seleziona Pagina

Realizzazione siti web

fake-email-come-verificarla

Fake email, come verificarla

da | 2 Feb 2021 | Truffe, Sicurezza

Sono sempre più frequenti campagne di fake email intimidatorie come questa:

Ciao!
Hai notato di recente che ti ho inviato un’e-mail dal tuo account?
Sì, questo vuol dire semplicemente che ho accesso al tuo dispositivo.

Ti sto osservando da un paio di mesi.
Ti stai chiedendo come sia possibile? Bene, sei stato infettato da un malware proveniente da un sito per adulti che hai visitato.

a seguire pretendono pagamenti in cripto valuta con l’intimidazione della pubblicazione di video o audio registrati con questi fantomatici malware. A prima vista queste fake email potrebbero trarci in inganno perchè se guardiamo il mittente sarà una nostra email o magari lo standar [email protected]

fake-email-come-verificarla-02


Come verifichiamo chi è il vero mittente della fake email?

Purtroppo il mittente che leggiamo nella fake email può essere falsificato e non è l’unico parametro che può essere modificato. La soluzione che vi propongo è di andare a vedere gli headers della mail per avere un quadro dettagliato di cosa sia arrivato. Vediamo un esempio:

Received: from DB7PR07MB5499.eurprd07.prod.outlook.com (2603:10a6:10:7d::28)
by AM6PR07MB6071.eurprd07.prod.outlook.com with HTTPS; Tue, 19 Jan 2021
14:14:55 +0000
Received: …
Received: …
Authentication-Results: spf=pass (sender IP is 51.77.89.121)
smtp.mailfrom=otts.it; nostrodominio.it; dkim=pass (signature was verified)
header.d=otts.it;nostrodominio.it; dmarc=pass action=none
header.from=otts.it;compauth=pass reason=100
Received-SPF: Pass (protection.outlook.com: domain of otts.it designates
51.77.89.121 as permitted sender) receiver=protection.outlook.com;
client-ip=51.77.89.121; helo=mail.otts.it;
Received: from mail.otts.it (51.77.89.121) by
DB5EUR03FT039.mail.protection.outlook.com (10.152.21.120) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.3763.12 via Frontend Transport; Tue, 19 Jan 2021 14:14:52 +0000
Received: from net-93-145-204-4.cust.vodafonedsl.it ([93.145.xxx.xxx] helo=[192.168.2.6])
by gfra01ispn1.otts.it with esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
(Exim 4.94)
(envelope-from [email protected])
id 1l1rmQ-0006tM-0j
for [email protected]; Tue, 19 Jan 2021 15:14:46 +0100
To: [email protected]
From: Marco Trentin [email protected]
Subject: Mail di prova
Message-ID: [email protected]
Date: Tue, 19 Jan 2021 15:14:44 +0100
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101
Thunderbird/78.6.0
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”————EB2338F680A609A3A8D716F7″
Content-Language: it
X-Scanned-By: ClamAV 0.102.4; Tue, 19 Jan 2021 15:14:46 +0100
Return-Path: marco.tren[email protected]
X-MS-Exchange-Organization-ExpirationStartTime: 19 Jan 2021 14:14:52.1893
(UTC)
X-MS-Exchange-Organization-ExpirationStartTimeReason: OriginalSubmit
X-MS-Exchange-Organization-ExpirationInterval: 1:00:00:00.0000000
X-MS-Exchange-Organization-ExpirationIntervalReason: OriginalSubmit
X-MS-Exchange-Organization-Network-Message-Id:
ec2b19fd-f71a-4953-fa56-08d8bc8496a2
X-EOPAttributedMessage: 0
X-EOPTenantAttributedMessage: d6c1a499-4fae-4f2b-b4f4-f60ffb6bdb84:0
X-MS-Exchange-Organization-MessageDirectionality: Incoming

……….

I campi che ci servono sono quelli evidenziati:

  • Received: questa voce è tra le più importanti se non quella più importante, in quanto ci permette di vedere i salti della email fino ad arrivare a noi, riuscendo così a vedere il server originario di inoltro.
    Nel nostro esempio l’ip di partenza è 93.145.204.4 ed identifica il modem a cui sono collegato, il secondo passaggio è il server email mail.otts.it e così via fino alla destinazione.
  • Authentication-Results: qui troviamo 3 informazioni importanti SPF, DKIM e DMARC.
    SPF è un protocollo che si basa sui DNS del tuo nome di dominio, permette di certificare che l’IP mittente ha effettivamente il diritto d’inviare l’email. Questo protocollo è usato per prevenire un uso fraudolento del nostro nome di dominio e evitare che terzi fingano di essere noi.
    Il protocollo DKIM è un protocollo crittografico che si basa sull’uso di chiavi pubbliche pubblicate nei DNS. Il protocollo ci permette di firmare le email con il nostro nome di dominio, come se firmassimo una lettera con la nostra firma. Il destinatario dell’email è sicuro che siamo davvero noi ad aver scritto l’email e che questa non è stata alterata durante la trasmissione.
    I due protocolli DKIM e SPF sono complementari e rispondono a diversi tipi di attacchi. Tuttavia presentano l’inconveniente di non dare dei suggerimenti utili in caso di attacco. Il protocollo DMARC rimedia a questa mancanza e dà delle indicazioni in caso di attacco: in particolare puoi essere informato se qualcuno usurpasse la tua identità.
  • Received-SPF: questo campo ci da ulteriori informazioni relative al SPF
  • X****: tutti i campi che iniziano con la X sono righe generate dai mail server o dai tool di sicurezza i quali analizzano l’autenticità, filtri anti spam ecc ecc poco utili per la nostra analisi
  • Tutti gli altri campi sono parlanti e non li analizzaremo

Fake email a confronto

FAKE EMAIL:

Received: from DB6PR0701MB2792.eurprd07.prod.outlook.com (2603:10a6:4:22::21)
by AM6PR0702MB3558.eurprd07.prod.outlook.com with HTTPS; Tue, 19 Jan 2021
08:21:36 +0000
Received: from AM5PR0701CA0057.eurprd07.prod.outlook.com (2603:10a6:203:2::19)
by DB6PR0701MB2792.eurprd07.prod.outlook.com (2603:10a6:4:22::21) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3784.6; Tue, 19 Jan
2021 08:21:34 +0000

Received: from AM5EUR03FT012.eop-EUR03.prod.protection.outlook.com
(2603:10a6:203:2:cafe::72) by AM5PR0701CA0057.outlook.office365.com
(2603:10a6:203:2::19) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3784.6 via Frontend
Transport; Tue, 19 Jan 2021 08:21:34 +0000
Authentication-Results: spf=fail (sender IP is 37.142.9.219)
smtp.mailfrom=nostrodominio.it; nostrodominio.it; dkim=none (message not signed)
header.d=none;nostrodominio.it; dmarc=none action=none
header.from=nostrodominio.it;compauth=fail reason=601

Received-SPF: Fail (protection.outlook.com: domain of nostrodominio.it does not
designate 37.142.9.219 as permitted sender) receiver=protection.outlook.com;
client-ip=37.142.9.219; helo=dynamic-77-137-150-128.hotnet.net.il;
Received: from dynamic-77-137-150-128.hotnet.net.il (37.142.9.219) by
AM5EUR03FT012.mail.protection.outlook.com (10.152.16.161) with Microsoft SMTP
Server id 15.20.3763.12 via Frontend Transport; Tue, 19 Jan 2021 08:21:33
+0000

REAL EMAIL:

Received: from VI1PR07MB5470.eurprd07.prod.outlook.com (2603:10a6:803:bb::23)
by AM6PR07MB6071.eurprd07.prod.outlook.com with HTTPS; Tue, 19 Jan 2021
08:16:04 +0000
Authentication-Results: nostrodominio.it; dkim=none (message not signed)
header.d=none;nostrodominio.it; dmarc=none action=none header.from=nostrodominio.it;

Received: from (2603:10a6:802:68::32) by
VI1PR07MB5470.eurprd07.prod.outlook.com (2603:10a6:803:bb::23) with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.3784.4; Tue, 19 Jan 2021 08:16:03 +0000
Received: from VI1PR07MB4272.eurprd07.prod.outlook.com
([fe80::3984:3bec:320e:f52e]) by VI1PR07MB4272.eurprd07.prod.outlook.com
([fe80::3984:3bec:320e:f52e%6]) with mapi id 15.20.3784.010; Tue, 19 Jan 2021
08:16:02 +0000

Queste due email sono arrivate entrambe sullo stesso account office365 ed entrambe avevano come mittente un utente di dominio, come si può vedere nella fake email il server mail di partenza non centra nulla con l’office365 e giustamente anche il protocollo SPF ci risponde con un FAIL, ad indicare che qualcuno ha falsificato la email.

ARTICOLI CORRELATI

AMAZON TRUFFA: Rispondi e Vinci un iRobot Roomba

AMAZON TRUFFA: Rispondi e Vinci un iRobot Roomba

Un altro (nuovo) tentativo di truffa ai danni dell'ecommerce più famoso di sempre.. Amazon.La ricezione del messaggio "!-Vincitore--garantito!!!-- -- Sei_il_nostro_VINCITORE" da parte di "Online Shopper" da inizio ai giochi RISPONDI E VINCI UN IROBOT ROOMBA A seguito...

BANCAMPS TRUFFA dispositivo non autorizzato

BANCAMPS TRUFFA dispositivo non autorizzato

Ed riecco all'attacco i cybercriminali che prendono di mira, un'altra volta, l'istituto bancario BancaMPS, che, tramite un SMS, ci notifica che un dispositivo non autorizzato risulta connesso al nostro conto. SMS BANCAMPS DISPOSITIVO NON AUTORIZZATO La ricezione di un...