Seleziona Pagina

Fake email, come verificarla

da | 2 Feb 2021 | Truffe, Sicurezza

Sono sempre più frequenti campagne di fake email intimidatorie come questa:

Ciao!
Hai notato di recente che ti ho inviato un’e-mail dal tuo account?
Sì, questo vuol dire semplicemente che ho accesso al tuo dispositivo.

Ti sto osservando da un paio di mesi.
Ti stai chiedendo come sia possibile? Bene, sei stato infettato da un malware proveniente da un sito per adulti che hai visitato.

a seguire pretendono pagamenti in cripto valuta con l’intimidazione della pubblicazione di video o audio registrati con questi fantomatici malware. A prima vista queste fake email potrebbero trarci in inganno perchè se guardiamo il mittente sarà una nostra email o magari lo standar postmaster@nostrodominio.

fake-email-come-verificarla-02


Come verifichiamo chi è il vero mittente della fake email?

Purtroppo il mittente che leggiamo nella fake email può essere falsificato e non è l’unico parametro che può essere modificato. La soluzione che vi propongo è di andare a vedere gli headers della mail per avere un quadro dettagliato di cosa sia arrivato. Vediamo un esempio:

Received: from DB7PR07MB5499.eurprd07.prod.outlook.com (2603:10a6:10:7d::28)
by AM6PR07MB6071.eurprd07.prod.outlook.com with HTTPS; Tue, 19 Jan 2021
14:14:55 +0000
Received: …
Received: …
Authentication-Results: spf=pass (sender IP is 51.77.89.121)
smtp.mailfrom=otts.it; nostrodominio.it; dkim=pass (signature was verified)
header.d=otts.it;nostrodominio.it; dmarc=pass action=none
header.from=otts.it;compauth=pass reason=100
Received-SPF: Pass (protection.outlook.com: domain of otts.it designates
51.77.89.121 as permitted sender) receiver=protection.outlook.com;
client-ip=51.77.89.121; helo=mail.otts.it;
Received: from mail.otts.it (51.77.89.121) by
DB5EUR03FT039.mail.protection.outlook.com (10.152.21.120) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.3763.12 via Frontend Transport; Tue, 19 Jan 2021 14:14:52 +0000
Received: from net-93-145-204-4.cust.vodafonedsl.it ([93.145.xxx.xxx] helo=[192.168.2.6])
by gfra01ispn1.otts.it with esmtpsa (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
(Exim 4.94)
(envelope-from marco.trentin@otts.it)
id 1l1rmQ-0006tM-0j
for marco.trentin@nostrodominio.it; Tue, 19 Jan 2021 15:14:46 +0100
To: marco.trentin@nostrodominio.it
From: Marco Trentin marco.trentin@otts.it
Subject: Mail di prova
Message-ID: 266f84ba-464e-5f03-6826-27b041e4b606@otts.it
Date: Tue, 19 Jan 2021 15:14:44 +0100
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101
Thunderbird/78.6.0
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”————EB2338F680A609A3A8D716F7″
Content-Language: it
X-Scanned-By: ClamAV 0.102.4; Tue, 19 Jan 2021 15:14:46 +0100
Return-Path: marco.trentin@otts.it
X-MS-Exchange-Organization-ExpirationStartTime: 19 Jan 2021 14:14:52.1893
(UTC)
X-MS-Exchange-Organization-ExpirationStartTimeReason: OriginalSubmit
X-MS-Exchange-Organization-ExpirationInterval: 1:00:00:00.0000000
X-MS-Exchange-Organization-ExpirationIntervalReason: OriginalSubmit
X-MS-Exchange-Organization-Network-Message-Id:
ec2b19fd-f71a-4953-fa56-08d8bc8496a2
X-EOPAttributedMessage: 0
X-EOPTenantAttributedMessage: d6c1a499-4fae-4f2b-b4f4-f60ffb6bdb84:0
X-MS-Exchange-Organization-MessageDirectionality: Incoming

……….

I campi che ci servono sono quelli evidenziati:

  • Received: questa voce è tra le più importanti se non quella più importante, in quanto ci permette di vedere i salti della email fino ad arrivare a noi, riuscendo così a vedere il server originario di inoltro.
    Nel nostro esempio l’ip di partenza è 93.145.204.4 ed identifica il modem a cui sono collegato, il secondo passaggio è il server email mail.otts.it e così via fino alla destinazione.
  • Authentication-Results: qui troviamo 3 informazioni importanti SPF, DKIM e DMARC.
    SPF è un protocollo che si basa sui DNS del tuo nome di dominio, permette di certificare che l’IP mittente ha effettivamente il diritto d’inviare l’email. Questo protocollo è usato per prevenire un uso fraudolento del nostro nome di dominio e evitare che terzi fingano di essere noi.
    Il protocollo DKIM è un protocollo crittografico che si basa sull’uso di chiavi pubbliche pubblicate nei DNS. Il protocollo ci permette di firmare le email con il nostro nome di dominio, come se firmassimo una lettera con la nostra firma. Il destinatario dell’email è sicuro che siamo davvero noi ad aver scritto l’email e che questa non è stata alterata durante la trasmissione.
    I due protocolli DKIM e SPF sono complementari e rispondono a diversi tipi di attacchi. Tuttavia presentano l’inconveniente di non dare dei suggerimenti utili in caso di attacco. Il protocollo DMARC rimedia a questa mancanza e dà delle indicazioni in caso di attacco: in particolare puoi essere informato se qualcuno usurpasse la tua identità.
  • Received-SPF: questo campo ci da ulteriori informazioni relative al SPF
  • X****: tutti i campi che iniziano con la X sono righe generate dai mail server o dai tool di sicurezza i quali analizzano l’autenticità, filtri anti spam ecc ecc poco utili per la nostra analisi
  • Tutti gli altri campi sono parlanti e non li analizzaremo

Fake email a confronto

FAKE EMAIL:

Received: from DB6PR0701MB2792.eurprd07.prod.outlook.com (2603:10a6:4:22::21)
by AM6PR0702MB3558.eurprd07.prod.outlook.com with HTTPS; Tue, 19 Jan 2021
08:21:36 +0000
Received: from AM5PR0701CA0057.eurprd07.prod.outlook.com (2603:10a6:203:2::19)
by DB6PR0701MB2792.eurprd07.prod.outlook.com (2603:10a6:4:22::21) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3784.6; Tue, 19 Jan
2021 08:21:34 +0000

Received: from AM5EUR03FT012.eop-EUR03.prod.protection.outlook.com
(2603:10a6:203:2:cafe::72) by AM5PR0701CA0057.outlook.office365.com
(2603:10a6:203:2::19) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.3784.6 via Frontend
Transport; Tue, 19 Jan 2021 08:21:34 +0000
Authentication-Results: spf=fail (sender IP is 37.142.9.219)
smtp.mailfrom=nostrodominio.it; nostrodominio.it; dkim=none (message not signed)
header.d=none;nostrodominio.it; dmarc=none action=none
header.from=nostrodominio.it;compauth=fail reason=601

Received-SPF: Fail (protection.outlook.com: domain of nostrodominio.it does not
designate 37.142.9.219 as permitted sender) receiver=protection.outlook.com;
client-ip=37.142.9.219; helo=dynamic-77-137-150-128.hotnet.net.il;
Received: from dynamic-77-137-150-128.hotnet.net.il (37.142.9.219) by
AM5EUR03FT012.mail.protection.outlook.com (10.152.16.161) with Microsoft SMTP
Server id 15.20.3763.12 via Frontend Transport; Tue, 19 Jan 2021 08:21:33
+0000

REAL EMAIL:

Received: from VI1PR07MB5470.eurprd07.prod.outlook.com (2603:10a6:803:bb::23)
by AM6PR07MB6071.eurprd07.prod.outlook.com with HTTPS; Tue, 19 Jan 2021
08:16:04 +0000
Authentication-Results: nostrodominio.it; dkim=none (message not signed)
header.d=none;nostrodominio.it; dmarc=none action=none header.from=nostrodominio.it;

Received: from (2603:10a6:802:68::32) by
VI1PR07MB5470.eurprd07.prod.outlook.com (2603:10a6:803:bb::23) with Microsoft
SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.3784.4; Tue, 19 Jan 2021 08:16:03 +0000
Received: from VI1PR07MB4272.eurprd07.prod.outlook.com
([fe80::3984:3bec:320e:f52e]) by VI1PR07MB4272.eurprd07.prod.outlook.com
([fe80::3984:3bec:320e:f52e%6]) with mapi id 15.20.3784.010; Tue, 19 Jan 2021
08:16:02 +0000

Queste due email sono arrivate entrambe sullo stesso account office365 ed entrambe avevano come mittente un utente di dominio, come si può vedere nella fake email il server mail di partenza non centra nulla con l’office365 e giustamente anche il protocollo SPF ci risponde con un FAIL, ad indicare che qualcuno ha falsificato la email.

Lascia un commento

ARTICOLI CORRELATI

Richiesta fattura proforma, attenzione al malware

Richiesta fattura proforma, attenzione al malware

Attenzione alle email contenenti malware, vediamo in questo caso come si presenta una falsa richiesta fattura proforma inviata tramite una pec violata: Email con un italiano non troppo chiaro ma con tanto di firma e logo ben fatti, sicuramente copiati per bene dalla...

ENEL COMUNICA: Pericolosa truffa via email

ENEL COMUNICA: Pericolosa truffa via email

In questo articolo andiamo ad analizzare una truffa targata Enel, non è il solito tentativo di phishing, questa volta i cyber criminali hanno dato il meglio per realizzarla con tanto di dominio creato appositamente per dare una certa autorevolezza alla email. Contatto...

Agenzia entrate rimborso truffa

Agenzia entrate rimborso truffa

Nuova truffa via email targata Agenzia Entrate, andiamo subito a vedere di cosa si tratta: Falso Dominio Agenzia Entrate Sfruttando uno pseudo dominio dell'agenzia delle entrate "agenziadelleentrate.it" ci avvisano che abbiamo diritto ad un rimborso e ci rimandano al...

Best practice di sicurezza IT parte 2

Best practice di sicurezza IT parte 2

Vediamo la seconda parte relativa alle best practice di sicurezza IT che non devono mancare in un ambiente aziendale che sia un piccolo ufficio o un grosso gruppo, qui trovate la parte 1 TRASFERIMENTO SICURO DEI FILE Esistono svariati protocolli con altrettanti...