Ultimamente ho notato un incremento sostanzioso dello spam che ricevo via mail ,non solo nell’email pubblica del sito, ma anche nelle altre private.Tralasciando le classiche mail stile: hai vinto 99999999€ e prendi queste pillole e ti si allunga il birillo (LOL!), sia io che altri miei conoscenti continuiamo a ricevere mail di phising ovvero posta elettronica fasulla camuffata da email di servizi reali come PayPal , Post , iTunes ecc create con il solo scopo di rubare le credenziali degli utenti attraverso collegamenti a siti copia di quello originale.
Per fare un esperimento e vedere se queste email funzionano sul navigatore medio, ne ho modificata una (in modo da renderle innocue) e inviata ai miei genitori e il risultato è stato che loro ci sono cascati in pieno inserendo i dati personali.Fortunatamente controllo tutte le mail che arrivano ai miei in modo da evitare spiacevoli sorprese, ma chi non ha lo schiavo che controlla ogni mail che riceve come fa a riconoscere una mail fraudolenta di phising ?
Da Dove Prendono I Miei Dati?
Prima di capire come riconoscere le mail di phising è bene capire da dove e come prendono i nostri dati personali gli spammer.Per cominciare ci sono vari modi per scoprire l’indirizzo mail di una persona, ma i metodi principalmente utilizzati sono 3:
1. Crawler Web
Molti attacchi su internet sono fatti in modo automatico dallo spam alla raccolta dati e quest’ultima viene fatta da un “software” chiamato crawler.Il crawler naviga nel web e scansiona le pagine in modo automatico raccogliendo i dati infatti questo è anche il metodo che utilizzano i motori di ricerca per scovare i contenuti su internet, ma nel caso dei crawler usati per il phising ciò che viene cercato sono i vostri dati personali come nome,cognome, e-mail e se siete iscritti a qualche servizio online.
2. Siti Web Poco Raccomandabili
Quando vi iscrivete a un sito qualsiasi esso sia, vi verrà sempre chiesto almeno di inserire un indirizzo email e qui casca l’asino.Purtroppo non tutti i siti web sono affidabili a livello di privacy e non è raro che siti poco raccomandabili, ma anche quelli più seri, vendano o condividano i vostri dati a terze parti che poi mandano mail pubblicitarie e spam.Per arginare questo problema vi consiglio di leggere il mio articolo sulle email usa e getta.
3. Leak Database
Purtroppo non è raro che siti come Ebay,Amazon,Google,siti di atenei universitari e così via siano soggetti ad attacchi fatti con il solo scopo di rubare il database contenente i dati degli utenti.Nonostante molti di questi attacchi finiscono nel nulla, i pochi che vanno a segno mettono a rischio tutti gli utenti perché nonostante le password e le credenziali della carta di credito siano criptate, e quindi relativamente al sicuro, non è raro che nome utente e email siano in chiaro.Una volta ottenuto il database attraverso la vendita o ancora peggio da qualche link pubblico è molto semplice immaginare il risultato.
Ora vi dovrebbero sorgere 2 domande:
- Come fanno a capire a cosa siamo iscritti?
- I filtri anti-spam funzionano ?
Per quanto riguarda la prima domanda, beh in caso di leak del database la risposta è ovvia ma se la vostra mail non fa parte di quella sfilza di e-mail rubate con questo sistema la risposta è probabilità. Infatti se fate caso le mail di phising più comuni riguardano grossi siti web dove è probabile che lo sfortunato utente abbia un account.Ad esempio spesso ne ricevo riguardanti il fatto che Apple mi abbia bloccato il mio account iTunes e di fare subito il login.Peccato che io non abbia un account iTunes ahahah.
Per quanto riguarda i filtri anti spam questi funzionano solo in parte; non vi starò ad annoiare su come funziona un filtro anti-spam ma non tutte le mail spammose ricevute vengono bloccate come avrete notato anche da soli ed è di queste che vi dovete preoccupare. Un consiglio per migliorare il filtro del vostro provider mail è quello di segnare come spam tutte la posta ricevuta di phishing non filtrata anche se è molto probabile che lo spammer utilizzi un indirizzo diverso ogni volta. Questo può aiutare ad arginare il problema.
Come Riconoscere Le Email Di Phishing
Riconoscere le mail di phishing non filtrate dal filtro antispam per un utente esperto è facilissimo, è come riconoscere un anguria tra 100 banane, ma per quelli meno esperti non è così semplice. Ecco quindi i segni particolari di questo tipo di email:
Oggetto Email “Strano”
Il primo segno particolare di una mail di phising è il suo oggetto ad esempio:
Questa è una e-mail che ho ricevuto qualche giorno fa e che non è stata filtrata dal filtro anti-spam.Come potete vedere nell’immagine, il mittente sembra veritiero e l’oggetto chiede con urgenza di aprire la mail e la richiesta di informazioni. ALT! Questo è il classico modo per attirare la vostra attenzione e creare “panico” (chi non ci tiene ai suoi soldi xD) infatti tutte le email di phishing che riguardano banche, conti correnti o comunque cose che riguardano i soldi, hanno un oggetto che sollecita l’apertura della mail come ad esempio la richiesta urgente di dati oppure un oggetto che mette ancora più paura ovvero il blocco del conto.Prima di andare nel panico, accendete il cervello, e pensate se avete modificato i vostri dati o combinato qualche macello con il servizio che “presumibilmente” vi ha contattato, se anche in questo caso l’email vi sembra veritiera passate al punto successivo.
Un Look Losco
Ora io questa parte la considero quella più divertente delle mail di phishing perché tutte le volte che ne apro una muoio dal ridere.Prendiamo come esempio la solita mail di prima:
Sembra tutto veritiero, logo di PayPal, un testo che ci intima di aggiornare le nostre informazioni entro 37 giorni e un link (ma non sempre le mail di phishing sono così ben fatte). Ora ci sono 2 cose che saltano all’occhio: perché viene mandata una email scritta in inglese ad un utente italiano, quando anche i sassi sanno che Paypal quello vero, manda le email in italiano agli italiani? Già il fatto di ricevere un’ e-mail in un altra lingua da un’ azienda che vi ha sempre scritto in italiano è già un campanello di allarme.Il secondo campanello di allarme sono gli errori di ortografia, tutti possono farli, ma c’è una possibilità su 9999999999999999995641 che un’ email automatica mandata da una grande azienda ci siano errori di ortografia e se notate nell’ultima riga prima del link hanno sbagliato a scrivere incolla in inglese scrivendo past invece che paste.Ma mettiamo il caso che il vostro spammer sia un grammar-nazi e la mail sia scritta in modo perfetto e sia credibile quali altri segni particolari ha una mail di phishing?
L’header
Diciamo che questo è l’unico aspetto un po’ tecnico di questo post ma cercherò di semplificare il più possibile e lo metto ora, e non come ultimo punto, perché questa operazione è meglio farla prima di cliccare sui vari link farlocchi.Per visualizzare l’header di una email basta cercare sulla parte superiore della pagina web, solitamente accanto all’indirizzo email del mittente, (ma questo cambia da provider a provider) e cliccare sul link visuallizza header oppure maggiori informazioni (anche in questo caso dipende dal vostro privider email).Una volta fatta questa operazione vi si aprirà un popup o una finestra che contiene i dati dettagliati del mittente assieme ai vostri dati e a quelli del server; l’header è come l’intestazione che si trova su una busta di una che indica tutti i dati necessari al riconoscimento e infatti cercando in questa finestra troverete delle voci chiamate From , To e Replay To.
E qui vedrete veramente con chi avrete a che fare se vedete il secondo screenshot di questo post la mail veniva spacciata per security [at] paypal.com ma in realtà non è quella, infatti come potete vedere nell’header nella sezione From la vera email è un altra ed è quella compresa tra <> e indicata nel punto Replay To. Questo è molto importante perchè nessuna grande azienda, banca o che sia, comunica con email di servizi di terze parti ma con email che hanno come dominio l’indirizzo principale del loro sito web come invece voleva far credere questa mail.Arrivati a questo punto ormai sarete certi se l’email è vera oppure farlocca ma presumiamo che non siate ancora convinti, cosa altro guardare?
Link inverosimili
Tutto lo scopo delle email di phishing è quello di farvi cliccare sui link e indirizzarvi verso un sito web simile all’originale e farvi inserire i vostri dati di login che poi vengono inviati via email allo spammer o salvati in un database.Ovviamente il sito web fasullo fatto per rubare i dati non potrà mai avere il dominio dell’originale, anzi solitamente questi siti sono ospitati su servizi di hosting gratuito oppure hanno domini TLD molto simili all’ originale ma scritto in modo leggermente diverso in modo da confondere il navigatore poco esperto.Prima di cliccare ad occhi chiusi sul link, se avete dubbi vi consiglio di fare una cosa per confermare che il sito sia originale, cliccateci con il tasto destro e fate cerca con Google.Questo perchè molti provider mail modificano i link inseriti nelle mail e facendo copia indirizzo non si riesce a visualizzare il vero URL ed inoltre in questo modo non cliccherete sul link.Una volta fatta questa operazione potrete vedere in chiaro il link contenuto nella mail e confrontarlo con il link originale.Ad esempio nel mio caso:
Nonostante abbia offuscato il finale del link, anche così si può chiaramente capire che il è un sito farlocco senza problemi. Ci sono siti fatti per tenere traccia di questi spammers, uno di questi è PhishTank che permette di cercare i links inviati via mail in un database di spammer.
Ho Cliccato Sul Link
Se arrivati a questo punto avete cliccato sul link siete ancora in tempo a salvarvi salvo alcuni rari casi, se non inserite i dati sul sito tarocco sarete salvi.Questo punto vale più per i link mandati sui social network infatti è facile che un account di un amico venga compromesso e utilizzato per spammare. Se vi viene mandato ad esempio un link per scaricare un gioco da Steam su Facebook (cosa che mi è capitata) e voi cliccate su questo link vi si aprirà nel caso di Steam quasi sicuramente una pagina molto simile all’originale, ma aspettate ad inserire i dati, controllate sempre che la pagina sia veritiera semplicemente controllando l’indirizzo nella url bar del browser e che la connessione sia protetta dal protocollo SSL.
Conclusioni
Tante delle cose che ho scritto in questo articolo possono sembrare ultra banali ma non avete idea di quanta gente ci casca e va nel panico quando riceve queste email bidone.Per concludere questo papiro non posso fare altro che ricordare ancora una volta che la migliore protezione da questo tipo di attacchi è il vostro cervello, quindi analizzate in modo critico tutto quello che ricevete e valutate bene ciò che state leggendo e sopratutto non cliccate a caso su tutto quello che ricevete anche su Facebook e compagnia, anche se a mandarvi il link è un amico.Se questo articolo vi è piaciuto non dimenticate di condividerlo sui social network :D.