Riconoscere le email false

di | 5 Marzo 2013

La questione è ritornata prepotentemente alla ribalta oggi con il caso delle email dirette ai dipendenti di Equitalia, ma il problema di messaggi di posta con mittenti alterati, inviati da ignoti che si spacciano per persone conosciute, è una delle piaghe di internet. Si tratta di vere e proprie truffe, da cui è fondamentale imparare a difendersi.

Il problema nasce da una debolezza intrinseca dei sistemi di posta elettronica.

Il protocollo di trasferimento, chiamato SMTP, svolge la stessa funzione del servizio di posta ordinaria: raccoglie la posta in entrata, la smista e la consegna al destinatario, senza fare indagini particolari su chi siano mittente e/o destinatario. E’ vero che i gestori di servizi di posta elettronica mettono in atto una serie di precauzioni per limitare l’abuso del servizio, ma installare un programma in grado di inviare messaggi taroccati, aggirando le protezioni, è un gioco da bambini. Dato che non esiste un sistema universale per certificare l’identità del mittente, il rischio di essere raggirati è sempre alto.

Prima regola: avere prudenza.

In effetti, la prima cosa da fare è quella di stare in guardia. Essere consci dei limiti del servizio di posta elettronica costituisce la prima linea di protezione. E le sue regole-chiave sono tre: 1) non dare per scontato che il mittente sia quello che viene indicato dal programma di posta elettronica, 2) verificare che il contenuto testuale sia coerente con quanto conosciamo del mittente, 3) non aprire mai allegati senza prima aver raggiunto la ragionevole certezza che il messaggio non sia una frode e senza averli sottoposti al controllo di un software antivirus.

In caso di dubbio, bisogna scendere nel dettaglio.

Ogni messaggio registrato nella nostra casella di posta ha al suo interno la registrazione di ogni passaggio che ha subito dal momento della spedizione sino a quella della consegna. E’ un meccanismo analogo a quello del servizio di assicurata offerto delle Poste Italiane.
Queste informazioni, assieme ad altre utili a difenderci, sono normalmente nascoste alla vista dai programmi di posta, in quanto non sono normalmente interessanti nell’uso quotidiano. Tutti i programmi per la consultazione dei messaggi hanno, però, opzioni che consentono di consultare questi elementi: i nomi possono essere vari (visualizza intestazioni, mostra headers, mostra originale, visualizza sorgente) ma il risultato è sempre lo stesso. Attivando questa funzione viene visualizzato un testo, contenente una serie di codici, apparentemente criptici. L’esempio che segue è riferito ad un messaggio ricevuto da twitter:

Delivered-To: *******@gmail.com
Received: by 10.181.11.161 with SMTP id ej1csp23644wid;
        Fri, 18 Jan 2013 00:05:30 -0800 (PST)
X-Received: by 10.66.76.198 with SMTP id m6mr21507623paw.32.1358496329516;
        Fri, 18 Jan 2013 00:05:29 -0800 (PST)
Return-Path: <z7303d75b7tvbehgv=tznvy.pbz@postmaster.twitter.com>
Received: from ham-cannon.twitter.com (ham-cannon.twitter.com. [199.59.148.231])
        by mx.google.com with ESMTPS id h8si4836087pay.250.2013.01.18.00.05.28
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Fri, 18 Jan 2013 00:05:29 -0800 (PST)
Received-SPF: pass (google.com: domain of twitter.com designates 199.59.148.231
        as permitted sender) client-ip=199.59.148.231;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of twitter.com designates 199.59.148.231 
       as permitted sender) smtp.mail=twitter.com;
       dkim=pass header.i=@twitter.com
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=simple/simple; d=twitter.com; 
     s=dkim-201205;
From: Twitter <n-tvbehgv=tznvy.pbz-2dffe@postmaster.twitter.com>
To: ***** ****** <******@gmail.com>
Subject: ***** *******, ecco cosa sta succedendo su Twitter
MIME-Version: 1.0
Content-Type: multipart/alternative; 
	boundary="----=_Part_5872437_1167525312.1358496311025"
X-mailstream: default
X-twfbl: 3e0d5535-6615-4091-86c3-799d7335cbf9
Precedence: Bulk
Date: Fri, 18 Jan 2013 08:05:11 +0000
Message-ID: ...

Quello che ci interessa è contenuto all’inizio del testo. Ad una prima analisi questa lista di codici può sembrare incomprensibile ed incutere timore, ma – come sempre – basta avere le chiavi di lettura per renderla facilmente interpretabile. Gli elementi che ci interessano sono pochi e ben chiari. Tutto il resto può essere ignorato.

La prima cosa da verificare se sono presenti  righe analoghe a queste:

Received-SPF: pass 
Authentication-Results: ... spf=pass;

e/o

dkim=pass ...

SPF e DKIM sono due elementi non obbligatori, nati per certificare il percorso della posta elettronica. Se sono presenti e verificati, garantiscono che il messaggio ha seguito un percorso ufficiale. Pur non attestando l’identità del mittente, in questo caso le probabilità che si tratti di un messaggio falso sono sicuramente basse.

Se questi elementi non sono presenti, bisogna passare ad analizzarne altri: vediamo che intestazioni ha questo falso messaggio, apparentemente inviato dal servizio di sicurezza informatica delle Poste Italiane:

Return-Path: <spam@58.218.165.83.static.mundo-r.com>
Received-SPF: none (domain of 58.218.165.83.static.mundo-r.com 
   does not designate permitted sender hosts)
X-Originating-IP: [83.165.218.58] 
Authentication-Results: mta1296.mail.sk1.gmail.com  
     from=58.218.165.83.static.mundo-r.com; domainkeys=neutral (no sig);  
     from=58.218.165.83.static.mundo-r.com; dkim=neutral (no sig)
Received: from 127.0.0.1  (EHLO masfijacion.com) (83.165.218.58)  by 
      mta1296.mail.sk1.gmail.com with SMTP; Tue, 10 Jul 2012 06:13:07 -0700
Received: from Spooler by masfijacion.com (Mercury/32 v4.52) ID MO092889;   
      10 Jul 2012 15:13:07 +0200
Received: from spooler by masfijacion.com (Mercury/32 v4.52); 
      10 Jul 2012 14:42:13 +0200
Received: from cpserver2 (83.147.183.210) by masfijacion.com 
      (Mercury/32 v4.52) with ESMTP ID MG092886;   
      10 Jul 2012 14:42:13 +0200
From: "Poste Italiane" <sicurezza@posteitaliane.it>
To: *** ****@gmail.com
Date: 10 Jul 2012 13:42:13 +0100
Subject: Sicurezza Web PostePay Urgente

La prima cosa che è facile notare è che il campo del mittente (From:) affermerebbe che il messaggio arriva da Poste Italiane, (email sicurezza@posteitaliane.it), mentre il messaggio ha nel campo di risposta (Returm-Path:) un indirizzo totalmente diverso (spam@58.218.165.83.static.mundo-r.com). La cosa è molto sospetta: la mancata corrispondenza di questi due campi indica che il mittente vuole apparire in un modo (quello che viene morstrano è il contenuto del campo From:), mentre in realtà i messaggi vanno ad un altro indirizzo (quello di Return-Path).
Come è facile constatare, il campo Received-SPF – che è presente – non è più pass, ma none. Più esplicitamente, nella stessa riga, è scritto a chiare lettere, sia pure in inglese, che il server da cui è stato spedito non è autorizzato a mandare posta per quel dominio.

La certezza del fatto che sia una comunicazione taroccata si ottiene seguendo il percorso del messaggio, la catasta di righe che cominciano con Received. Ogni elemento identifica un passaggio subito dal messaggio durante il suo tragitto, ed primo valore corrisponde è l’equivalente dell’inserimento nella buca delle lettere di una missiva ordinaria. Da questo possiamo ricavare una serie di dati interessanti: il server che ha ‘accettato’ la missiva ha l’indirizzo 83.165.218.58 e, al momento della connessione, ha ‘dichiarato’  (EHLO) di appartenere al dominio masfijacion.com. E’ sufficiente utilizzare un programma di uso generale su internet, whois, per risalire al fatto che il dominio appartiene ad una società spagnola, mentre con un servizio di geolocalizzazione si può verificare che il server è installato nel nord-over della nazione.

Con questi indizi in mano è facile giungere alla conclusione che il messaggio non è originale e che, probabilmente, sia stato inviato da una macchina la cui integrità era stata corrotta da un virus.

Basta poco.

Come abbiamo visto non è necessario essere dei guru dell’informatica per scoprire se un messaggio di posta elettronica sia o meno attendibile. Basta un po’ di attenzione per mettersi al riparo da problemi che, potenzialmente, sono in grado di arrecare grandi danni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *