Indice dei Contenuti
Una delle insidie che si nascondono ogni giorno nell’utilizzo di internet è proprio il phishing: molte email le riconosci al primo sguardo, mentre altre sono di livello avanzato e anche l’occhio esperto può esser ingannato.
Per questo vediamo come analizzare l’header di una email per verificarne l’autenticità, possibile tramite l’accesso WEB al servizio mail oppure da Outlook:
- aprire la mail da controllare
- scegliere File quindi Proprietà
- Nella voce Intestazioni Internet troviamo i dati che ci interessano.
Come leggere l’origine del messaggio
Prendiamo ad esempio questa email che non è stata riconosciuta dai vari provider di posta come SPAM ma che lo è palesemente.
Return Path
Questo campo indica:
- l’indirizzo email dove vengono veicolate eventuali notifiche di consegna o lettura
- la convalida tramite l’SPF ovvero la verifica se l’indirizzo email è autorizzato a spedire da quell’host
- questa però non impedisce di eseguire lo spoofing dell’indirizzo mail da parte di un attaccante
In questo caso l’indirizzo email definito dal return path è [email protected] e la protezione SPF ha lavorato bene visto il messaggio indicato:
"doulike.es does not designate permitted sender hosts"
Questo però non impedisce che venga usato l’indirizzo email per operazioni del genere.
Reply-To
Questa voce indica l’indirizzo email dove viene recapitata la risposta ed è quella che viene utilizzata quando si sceglie la voce Rispondi. Coincide con il valore indicato nel Return Path
Received
Questa voce è tra le più importanti se non quella più importante, in quanto ci permette di vedere il percorso seguito dalla mail per arrivare fino a noi, riuscendo così a vedere il server originario di inoltro.
In questo caso il server è 213.174.153.6 il quale attraverso un comune servizio WHOIS è possibile identificarne la provenienza.
Le righe che iniziano con X
Tutte queste righe, che occupano gran parte dell’header, sono righe generate dai mail server e dai tool di sicurezza che analizzano, ad esempio, l’autenticità, filtri anti-spam ecc
Authentication-Result
Qui troviamo dati aggiuntivi come i seguenti:
Authentication-Results: spf=none (sender IP is 213.174.153.6)
smtp.mailfrom=doulike.es; hotmail.it; dkim=none (message not signed)
header.d=none;hotmail.it; dmarc=none action=none header.from=doulike.es;
dove troviamo l’IP di invio e la voce DKIM indica se la mail è firmata digitalmente oppure no.
Relay aperto?
I mittenti di SPAM spesso prendono di mira server SMTP con relay aperto in quanto permettono di esser usati per inviare email anche da parte di utenti locali o simili.
Per eseguire questo controllo basta usare uno dei vari servizi online per scansionare i servizi SMTP.
Connecting to 213.174.153.6
220 Hello! You have 3 wishes … [656 ms]
EHLO EC2AMAZ-CT1LM3F.mxtoolbox.com
250-mail2.doulike.com
250-PIPELINING
250-SIZE 102400000
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 NTLM RPA OTP SKEY
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8 [613 ms]
MAIL FROM:<[email protected]>
250 2.1.0 Ok [627 ms]
RCPT TO:<[email protected]>
554 5.7.1 <[email protected]>: Relay access denied [725 ms]
In questo caso il mittente non accetta mail di risposta, visto che la mail ha l’obiettivo di invogliare l’utente ad aprire il link malevolo.
Rapporto sulla reputazione delle minacce
In aggiunta l’IP trovato si può analizzare con servizi online come IBM X-Force Exchange o VirusTotal.
Questo può esser utile per avere la massima certezza che la mail provenga da fonti NON attendibili.
In questo caso l’URL di destinazione è palesemente diverso da quello ufficiale e rimanda ad un dominio con sede probabilmente in Polonia.