Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La nuova truffa che finge l’hacking della mail: le lezioni per aziende e utenti

Circola in Italia una mail di phishing che usa una tecnica particolare. Il mittente finge di aver hackerato l’indirizzo mail del destinatario, per poi ricattarlo. Vediamo che c’è da imparare

21 Set 2018
D

Paolo Dal Checco

Consulente Informatico Forense


Come avrai già indovinato, il tuo account è stato hackerato, perché è da lì che ho inviato questo messaggio”. Inizia così il messaggio di posta elettronica di phishing che centinaia di migliaia d’italiani hanno trovato nella posta ricevuta in questi giorni.

La particolarità della truffa – che fa allarmare utenti e aziende in questo periodo – è la tecnica estorsiva utilizzata. Il mittente del messaggio risulta essere il proprietario della casella di posta, che lo trova quindi – oltre che nella posta in arrivo – anche nella sua cartella dei messaggi inviati, esattamente come se l’avesse inviato lui stesso o… un fantomatico hacker introdottosi nella sua mailbox.

Vediamo che cosa dovremmo imparare, a casa e in azienda, da questa truffa, per migliorare la nostra sicurezza informatica.

La truffa

Il truffatore si presenta come rappresentante di un “gruppo internazionale famoso di hacker” che si è preso la briga d’installare, tra luglio e settembre, un “virus” su uno dei siti per adulti visitati dalle vittime. In questo modo, può dire di avere accesso a corrispondenza, reti sociali e messenger anzi, di aver persino un “dump” (cioè un backup completo) di tali dati.

Ovviamente in tali dati ci sono i “piccoli e grossi segreti” delle vittime, che l’hacker ha scoperto ma non solo, si è anche prodigato a registrare i soggetti che hanno ricevuto le mail mentre guardavano film per adulti – che il criminale commenta con un “Dio mio, che gusti, che passioni tu hai… 🙂”.

Sì, perché ora viene fuori l’intento criminale: nessuno vuole che i propri segreti vengano resi noti ad “amici, famiglia e soprattutto alla persona più vicina”, mentre il delinquente è proprio lì che vuole arrivare. Per fermarlo, è sufficiente versare la modica somma di 300 dollari, in bitcoin, all’indirizzo indicato nel messaggio.

Se l’importo viene versato entro 48 ore dalla ricezione dell’email, il delinquente s’impegna a cancellare tutti i dati, altrimenti s’impegnerà a divulgare tutta la corrispondenza e i video ai vari indirizzi trovati proprio nella casella di posta al momento del contagio.

La mail si conclude con un bonario “Mi dispiace, ma bisogna pensare alla propria sicurezza! Speriamo che questa storia ti insegni a nascondere i tuoi segreti in una maniera adeguata! Stammi bene!”. Ovviamente chi riceve il messaggio non la prende bene, si fa intimidire, si preoccupa dei suoi dati (o delle sue eventuali attività su siti “privati”) e in parte paga, in parte cerca online di capire di cosa si tratta, in parte segnala alla Polizia Postale.

Cosa è successo?

All’arrivo di queste mail, privati e aziende sono spesso corsi ai ripari facendo analizzare i server e le caselle di posta in cerca di tracce del presunto attacco, che dovrebbe aver permesso ai criminali d’inviare il messaggio utilizzando la mailbox che si presume “hackerata”.

Tra i riceventi ci sono stati certamente ignari dipendenti di aziende che, correttamente, hanno immediatamente fatto segnalazione, informando il reparto IT di quanto rinvenuto nella propria casella. Comprensibilmente, qualcuno può persino aver pensato che l’attacco potesse essere dipeso da disattenzione dei dipendenti stessi, vuoi per essere caduti vittima di phishing, vuoi per un incauto riciclo di credenziali fuoriuscite nel dark web grazie ai vari furti subiti da numerosi server negli ultimi anni.

La realtà, però, è che i delinquenti non hanno avuto accesso alla casella di posta elettronica delle vittime: si tratta di un “bluff”. Ciò che ha convinto tanti del contrario, è il fatto che, essendo il destinatario lo stesso del mittente del messaggio, si verifica uno strano fenomeno per il quale la mail compare sia nella posta ricevuta sia nella posta inviata. Ed è opinione comune che le mail presenti nella posta inviata siano esclusivamente quelle inviate dal proprietario della casella di posta.

WEBINAR 13 FEBBRAIO ORE 12:00 Come affrontare i cambiamenti imposti dalla digital transformation senza l’ansia dei budget? ISCRIVITI AL WEBINAR

La posta inviata ci sta fuorviando?

Un aspetto che può sembrare così banale, quindi, rende pienamente “credibile” l’intera minaccia, causando allarmismo e spesso convincendo le vittime più deboli a procedere con il pagamento del riscatto in bitcoin, Vedendo il messaggio nella posta inviata, infatti, gli utenti si convincono che il fantomatico hacker abbia effettivamente avuto accesso alla loro mailbox, avendola quindi utilizzata per il messaggio a se stessi.

Per osservare un esempio di questo fenomeno, analizziamo il messaggio arrivato direttamente allo scrivente, proprio durante la redazione del presente articolo. Si consideri come in origine la mail fosse stata inserita nella cartella dello spam e successivamente ripristinata dallo scrivente per simulare una situazione “standard” nella quale il filtro non avesse rilevato anomalie:

Il messaggio ricevuto compare nella posta “Inviati”, esattamente come se l’avesse inviato lo scrivente o qualcuno in possesso delle credenziali segrete. Per un utente poco avvezzo alla tecnologia, vedere un messaggio scritto dal proprio account salvato nella posta inviata è un immediato segno di allarme. La prima frase della mail, poi, fuga ogni dubbio precisando proprio che l’account “è stato hackerato, perché è da lì che ho inviato questo messaggio”.

Osservando anche le intestazioni RFC822, si nota come il campo “From:” sia identico al campo “To:”, così come avviene per le mail che inviamo a noi stessi. Inoltre, i criminali vogliono far credere al server di posta di aver utilizzato “Outlook Express” per inviare il messaggio, così da rendere plausibile un invio a se stessi e convincere il server a catalogare la mail anche come inviata e non soltanto come ricevuta.

Questo in realtà è un comportamento – tecnicamente corretto – dei programmi di posta elettronica e delle webmail che, quando catalogano un messaggio che ha come mittente il proprietario della casella, desumono che sia stato da esso inviato, collocandolo quindi fra la posta uscita. Questo avviene anche se in realtà il messaggio è arrivato dall’esterno, quindi creato artificiosamente, mentre il comportamento è pensato per quando gli utenti inviano mail attraverso client di posta, utilizzando quindi SMTP eventualmente congiunto con IMAP, senza passare tramite webmail.

Cosa possiamo o dobbiamo fare?

Sostanzialmente non c’è bisogno di fare nulla, se non cancellare la mail. E’ possibile che più passa il tempo maggiormente i provider saranno in grado di catalogare questo tipo di mail come spam e archiviarli direttamente nell’apposita cartella relativa allo spam. Per dovere civico, se chi riceve la mail ne sente la necessità, può sporgere denuncia o inviare segnalazione tramite il portale della Polizia Postale. Per completezza, consigliamo di esportare il messaggio integrale dalla casella di posta elettronica, selezionando la visualizzazione del codice sorgente (chiamato tecnicamente “RFC822”) e salvando il tutto in formato EML, TXT o MSG, così da mantenere inalterati gli “header” del messaggio che permettono di capire da quale indirizzo IP è stato inviato e con quale modalità.

Rammentiamo che, se ad aver ricevuto il messaggio è un’azienda, è necessario valutare con attenzione l’attendibilità del messaggio, poiché la segnalazione stessa potrebbe essere interpretata come una ammissione di un data breach e come tale andrebbe opportunamente valutato e trattato in base al contesto. I criminali affermano infatti di essere in possesso dell’account di posta, della corrispondenza, dei messaggi e teoricamente anche del PC del dipendente, che affermano di avere infettato con un virus, materiale più che sufficiente per costituire dati che sarebbero stati da proteggere.

I provider di posta potrebbero, infine, cercare di valutare con più attenzione quando una mail è davvero stata generata dal proprietario della mailbox, così da intervenire prontamente in questo tipo di truffe. In realtà, purtroppo, questo non è un compito facile e rischierebbe di generare “falsi positivi” più rischiosi della ricezione dello spam stesso. Il gestore della mailbox dovrebbe infatti esaminare le intestazioni dei messaggi per valutarne la correttezza e coerenza, incrociandoli magari con attività di login su IMAP e SMTP, cosa che tra l’altro inficiare sulla riservatezza e sulla privacy degli utenti.

Dove hanno preso gli indirizzi email?

Tranquillizzate sul fatto che i delinquenti non hanno avuto accesso alla propria mailbox, le vittime si chiedono a quel punto “come fa l’hacker ad avere il mio indirizzo di posta?”. Basta osservare la cartella “SPAM” della propria mailbox (dove tra l’altro buona parte dei messaggi di questo tipo dovrebbero finire) per capire come il proprio indirizzo difficilmente è sconosciuto a terzi.

Spesso infatti qualcuno dei servizi dove ci siamo registrati è finito sotto attacco da parte di criminali che hanno acquisito nomi utente, email e password, creando i famosi “leak” che vengono poi utilizzati da chi tenta di accedere ad account sperando che il proprietario non abbia cambiato la password rispetto a quella riportata negli elenchi. Per verificare se il proprio indirizzo di posta è presente in uno dei “leak” a oggi noto, è sufficiente consultare servizi come Have I Been Pwned, Gotcha.pw o DeHashed, che una volta indicata la nostra email ci risponde confermandoci se e dove questa è presente.

È necessario cambiare la password?

Per quanto non abbia direttamente a che fare con il messaggio oggetto di trattazione, se il test al punto precedente è positivo – cioè se il nostro indirizzo di posta è presente all’interno degli elenchi di credenziali “rubati” online – è certamente consigliabile cambiare la propria password e soprattutto non riutilizzarla per più di un servizio. In sostanza, se si usa una parola segreta per la mail, non deve essere riutilizzata identica da nessun’altra parte, né Facebook, né Dropbox o altri servizi.

Aggiungiamo, tra l’altro, che sarebbe buona pratica cambiare periodicamente le proprie password, proprio per evitare che episodi come quelli dei “leak” mettano a rischio i nostri account. Se possibile, sui servizi che lo offrono, consigliamo di attivare anche l’autenticazione a due fattori, così da ricevere a ogni nuovo accesso una notifica via SMS o App per smartphone contenente il codice per confermare la propria identità.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5