Proteggersi dal Phishing: come analizzare l’header di un email

Proteggersi dal Phishing: come analizzare l’header di un email

Una delle insidie che si nascondono ogni giorno nell’utilizzo di internet è proprio il phishing: molte email le riconosci al primo sguardo, mentre altre sono di livello avanzato e anche l’occhio esperto può esser ingannato.

Per questo vediamo come analizzare l’header di una email per verificarne l’autenticità, possibile tramite l’accesso WEB al servizio mail oppure da Outlook:

  • aprire la mail da controllare
  • scegliere File quindi Proprietà
  • Nella voce Intestazioni Internet troviamo i dati che ci interessano.

Come leggere l’origine del messaggio

Prendiamo ad esempio questa email che non è stata riconosciuta dai vari provider di posta come SPAM ma che lo è palesemente.

Proteggersi dal Phishing: come analizzare l'header di un email
La parte iniziale dell’header

Return Path

Questo campo indica:

  • l’indirizzo email dove vengono veicolate eventuali notifiche di consegna o lettura
  • la convalida tramite l’SPF ovvero la verifica se l’indirizzo email è autorizzato a spedire da quell’host
  • questa però non impedisce di eseguire lo spoofing dell’indirizzo mail da parte di un attaccante
Leggi anche  Spotify cancella musica originale

In questo caso l’indirizzo email definito dal return path è [email protected] e la protezione SPF ha lavorato bene visto il messaggio indicato:

"doulike.es does not designate permitted sender hosts"

Questo però non impedisce che venga usato l’indirizzo email per operazioni del genere.

Reply-To

Questa voce indica l’indirizzo email dove viene recapitata la risposta ed è quella che viene utilizzata quando si sceglie la voce Rispondi. Coincide con il valore indicato nel Return Path

Received

Questa voce è tra le più importanti se non quella più importante, in quanto ci permette di vedere il percorso seguito dalla mail per arrivare fino a noi, riuscendo così a vedere il server originario di inoltro.

In questo caso il server è 213.174.153.6 il quale attraverso un comune servizio WHOIS è possibile identificarne la provenienza.

Le righe che iniziano con X

Tutte queste righe, che occupano gran parte dell’header, sono righe generate dai mail server e dai tool di sicurezza che analizzano, ad esempio, l’autenticità, filtri anti-spam ecc

Leggi anche  Alert: Nuove campagne attive che veicolano il malware Emotet

Authentication-Result

Qui troviamo dati aggiuntivi come i seguenti:

Authentication-Results: spf=none (sender IP is 213.174.153.6)
smtp.mailfrom=doulike.es; hotmail.it; dkim=none (message not signed)
header.d=none;hotmail.it; dmarc=none action=none header.from=doulike.es;

dove troviamo l’IP di invio e la voce DKIM indica se la mail è firmata digitalmente oppure no.

Relay aperto?

I mittenti di SPAM spesso prendono di mira server SMTP con relay aperto in quanto permettono di esser usati per inviare email anche da parte di utenti locali o simili.

Per eseguire questo controllo basta usare uno dei vari servizi online per scansionare i servizi SMTP.

Connecting to 213.174.153.6

220 Hello! You have 3 wishes … [656 ms]
EHLO EC2AMAZ-CT1LM3F.mxtoolbox.com
250-mail2.doulike.com
250-PIPELINING
250-SIZE 102400000
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 NTLM RPA OTP SKEY
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8 [613 ms]
MAIL FROM:<[email protected]>
250 2.1.0 Ok [627 ms]
RCPT TO:<[email protected]>
554 5.7.1 <[email protected]>: Relay access denied [725 ms]

In questo caso il mittente non accetta mail di risposta, visto che la mail ha l’obiettivo di invogliare l’utente ad aprire il link malevolo.

Leggi anche  Alert: 2 milioni di credenziali Tiscali rese pubbliche

Rapporto sulla reputazione delle minacce

In aggiunta l’IP trovato si può analizzare con servizi online come IBM X-Force Exchange o VirusTotal.

Questo può esser utile per avere la massima certezza che la mail provenga da fonti NON attendibili.

In questo caso l’URL di destinazione è palesemente diverso da quello ufficiale e rimanda ad un dominio con sede probabilmente in Polonia.

Alvise C.

Alvise C.

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Google Certified e Comptia Security + Certified, ha scritto per WindowsBlogItalia e Windowsteca. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica. In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino. In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue. Per info: [email protected]

Lascia un commento