Riconoscere una mail attendibile da un tentativo di phishing

  1. Alessio Arrigoni
  2. Blog
  3. Riconoscere una mail attendibile da un tentativo di phishing

L'ampia diffusione di ransomware come Cryptolocker, TorrentLocker, CryptoWall e varianti, è sintomo evidente del fatto che molti utenti, ancor oggi, hanno difficoltà nel riconoscere le email phishing. Nella maggior parte dei casi, dovrebbe essere piuttosto semplice riconoscere le truffe via mail e capire quando un messaggio, recapitato nella propria casella di posta è stato realizzato con lo scopo primario di provocare l'installazione di malware o di carpire informazioni personali e dati sensibili.

L'antimalware resta ovviamente uno dei più validi alleati, soprattutto se integra strumenti per la scansione della posta elettronica in arrivo e protezione antiphishing, ma è sempre bene non porvi mai troppo affidamento.

Non è detto, infatti, che l'antimalware sia in grado di riconoscere automaticamente tutte le minacce proteggendo l'utente in maniera proattiva.

Prodotti software per la sicurezza del sistema o della rete locale che si basano prevalentemente sull'utilizzo dei database delle firme virali possono fallire non rilevando una minaccia malware di più recente concezione.

È capitato più volte, anche nel caso dei ransomware che nessun motore di scansione antivirus riconoscesse la minaccia a distanza di parecchie ore dalla comparsa in rete dei primi campioni malware.

Appare quindi evidente come la sola protezione dell'antimalware non possa essere considerata sufficiente per scongiurare qualsiasi rischio.

Ancor oggi, chi sviluppa malware o comunque ha interesse a rastrellare dati personali degli utenti, utilizza pesanti campagne phishing.

Nelle caselle di posta degli utenti vengono inviate email truffaldine che mirano ad indurre i destinatari dei messaggi phishing a dar credito al contenuto delle missive. Spesso, quindi, le email vengono confezionate in modo tale da apparire il più possibile veritiere quando, in realtà, non lo sono affatto.

Si fa ad esempio riferimento a presunti ordini di prodotti e servizi, consegne da parte dei principali corrieri, comunicazioni da parte di istituti bancari o gestori di carte di credito, pagamenti scaduti, tasse, fatture da parte dei principali operatori telefonici, fornitori di servizi di hosting e così via.

Di solito gli autori delle truffe via mail impostano come mittente l'indirizzo email del supporto clienti di un'azienda, di una banca o, addirittura, di un conoscente del destinatario del messaggio.

L'obiettivo è, ovviamente, quello di acquisire la fiducia del destinatario del messaggio ed indurlo ad eseguire l'allegato malevolo o compiere le operazioni suggerite nel messaggio truffaldino.

Un'email phishing non si riconosce dall'indirizzo email del mittente

Per riconoscere email phishing non bisogna assolutamente fermarsi ad osservare il solo indirizzo di posta del mittente.

Il mittente di un'email è falsificabile da chiunque, senza alcun problema. Questa pratica, chiamata email spoofing, è quotidianamente messa in atto da tutti gli spammers e da chi pone in essere campagne phishing.

È bene quindi agire sempre con la massima cautela considerando che il vero mittente di un messaggio può non essere quello indicato. Ciò a meno che all'email non siano associati record SPF (Sender Policy Framework; un metodo per limitare gli abusi sul nome del mittente nei messaggi di posta elettronica), DKIM (DomainKeys Identified Mail; meccanismo usato per associare un nome a dominio ad un messaggio di posta usando una firma digitale che può essere validata dai destinatari) o comunque l'email non presenti in allegato una firma digitale valida.

In questi tre casi è possibile considerare l'email come valida e perfettamente legittima.

In caso di dubbio sulla provenienza di un messaggio, una buona mossa è certamente quella di analizzare le intestazioni (headers) del messaggio. Le intestazioni del messaggio, infatti, offrono importantissime indicazioni circa i sistemi in cui l'email è stata generata, compresa la loro posizione geografica, nonché sui sistemi utilizzati per la spedizione (SMTP) ed il recapito fino alla destinazione.

L'email truffaldina può riportare come mittenti anche gli indirizzi email di persone conosciute. Ciò può avvenire allorquando i truffatori abbiano precedentemente acquisito, in diversi modi (informazioni razziate sui sistemi di altri utenti o direttamente presso i fornitori dei servizi di posta), rubriche dei contatti.

Attenzione agli eventuali allegati

In caso di dubbi è sempre bene evitare di aprire o eseguire l'eventuale allegato ricevuto insieme con il messaggio di posta elettronica.

Il primo consiglio è, innanzi tutto, quello di non lasciarsi trarre in inganno dal trucchetto della doppia estensione.

Gli sviluppatori di malware fanno leva su una configurazione di default che è attivata in tutte le versioni di Windows. Per impostazione predefinita, infatti, il sistema operativo non visualizza le estensioni conosciute; non mostra, quindi, le estensioni per i file DOC, PDF, ZIP, XLS, EXE e così via.

Risultato? Un file chiamato fattura.pdf potrebbe essere invece memorizzato a livello di file system come fattura.pdf.exe (si noti la doppia estensione). Cliccando due volte su quello che all'apparenza può sembrare un documento in formato PDF, si eseguirà invece un file malevolo (estensione .EXE).

Per le minacce già note, comunque, il servizio VirusTotal consente di ottenere una chiara indicazione circa la potenziale pericolosità dell'allegato oggetto di analisi.

Qualora si nutrissero comunque dei dubbi, si può utilizzare DeepViz, un servizio che esegue il file (allegato) potenzialmente dannoso in una macchina virtuale remota ed offre alcune indicazioni circa il suo comportamento.

Link fasulli nell'email phishing

Massima attenzione dev'essere riposta non soltanto sugli allegati ma anche sugli eventuali link presenti nell'email ricevuta. Link che all'apparenza fanno riferimento a siti web legittimi, possono puntare invece a server web gestiti da criminali informatici.

Lasciando per qualche istante il puntatore del mouse su tali link, dal client di posta o dalla webmail, si dovrebbe leggere nella parte inferiore della finestra il reale indirizzo di destinazione. In alternativa, come già visto nel caso delle intestazioni, è possibile accedere al sorgente del messaggio e controllare a quale indirizzo remoto punta ciascun link (tag HTML a href).

Se si decidesse di seguire un link riportato nell'email ritenuta legittima, si osservi bene quanto visualizzato nella barra degli indirizzi del browser.

Tutte le società più importanti, infatti, utilizzano connessioni HTTPS (consentono di proteggere i dati trasferiti da client a server e viceversa) e certificati digitali EV SSL.

Nel caso dei certificati EV-SSL, l'autorità responsabile dell'emissione del certificato digitale verifica attentamente l'identità del richiedente garantendola con la massima certezza.

Tutti i principali browser visualizzano il colore verde nella barra degli indirizzi (insieme con l'icona del lucchetto) quando si ha a che fare con un certificato EV-SSL perfettamente valido.

Certificati digitali non attendibili, revocati, scaduti o sconosciuti sono sintomo di qualcosa che non va.

Fino a qualche tempo fa uno dei suggerimenti più "gettonati", rivolti soprattutto ai meno esperti, era quello di astenersi dal fornire dati personali sui siti web che non provocano la comparsa, nel browser, dell'icona a forma di lucchetto e che quindi non utilizzano HTTPS e certificato digitale.

Questo consiglio, com'è facile intuire, non è ormai più sufficiente.

I cosiddetti certificati DV-SSL (Domain Validated SSL) vengono rilasciati previa esclusiva verifica della proprietà del dominio sul quale il certificato verrà installato. Alcune società mettono a disposizione certificati DV-SSL a titolo completamente gratuito.

Chi effettua campagne phishing ed allestisce siti web truffaldini può così richiedere facilmente ed utilizzare un certificato valido a tutti gli effetti.

Allestendo un sito chiamato, ad esempio, clienti-nomebanca.com, e caricando, sul server web, il certificato digitale richiesto per il dominio clienti-nomebanca.com, l'utente vedrà comparire il lucchetto e si sentirà rassicurato. In realtà i suoi dati andrebbero direttamente nelle mani dei criminali informatici.

La comparsa del lucchetto di colore verde è invece ad oggi un'ottima tutela, soprattutto quando l'utente ha cura di verificare il soggetto a cui è stato fornito il certificato digitale.

L'autore

Mi sono laureato in informatica presso l'università degli studi di Milano. Da sempre mi occupo di informatica e programmazione.
Da qualche anno sono diventato un blogger e collaboro con alcune testate on-line.
Ho al mio attivo anche alcune pubblicazioni on-line.

Ti potrebbe anche interessare

Leggi le ultima novità dal blog.

Miti da sfatare in tema di sicurezza informatica

Leggi tutto...
Come in tutte le cose anche in tema di sicurezza informatica esistono dei miti che possono influenzare negativamente il nostro comportamento nell'utilizzo del computer.Sfatare questi miti ci aiuterà a ...

Consigli per una password sicura

Leggi tutto...
La scelta di una password è un aspetto di fondamentale importanza per accedere ai servizi in rete protetti. Non deve essere una semplice chiave per accedere al sistema, ma deve essere diffici ...

Miti sulla sicurezza da sfatare

Leggi tutto...
Recenti studi in tema di sicurezza informatica hanno sfatato due grossi miti sulla sicurezza IT: - Mito uno: "Sul mio computer non c’è niente di importante e quindi non ho nulla ...

La sicurezza nel Voice over IP

Leggi tutto...
Con l'introduzione del VoIP (Voice over IP), è possibile utilizzare Internet anche per effettuare telefonate senza utilizzare la normale linea telefonica. Tuttavia questa tecnologia, appo ...

Come proteggere il nostro PC dalle infezioni della rete

Leggi tutto...
Come i virus delle malattie sono sempre pronti a colpire negli ambienti malsani se non si è adeguatamente protetti, anche i virus informatici sono pronti a colpire quando si naviga in interne ...

Usare il computer in maniera diligente

Leggi tutto...
Partiamo dalla premessa che nel mondo dell'informatica non esiste un dispositivo totalmente sicuro, privo di qualsiasi rischio, questo per una ragione molto semplice: i virus nascono prima dell& ...

Articoli recenti

Leggi le ultima novità dal blog.

Intelligenza artificiale: i pro e i contro

Leggi tutto...
Tema molto dibattuto in questi ultimi tempi: l’intelligenza artificiale. Argomento di grande rilevanza nella società odierna, che suscita sia entusiasmo che preoccupazione. Da un lato, ...

Cosa sono i dati basati su SSD ?

Leggi tutto...
Le SSD (acronimo di solid state drive, o unità di memoria a stato solido) sono delle unità di memoria particolarmente popolari nel mondo dei giocatori di videogiochi. Essendo i videogi ...

Perché utilizzare una VPN per l'accesso al cloud ?

Leggi tutto...
Il 2020 ha visto un enorme aumento del crimine informatico. Sebbene le persone non andassero in ufficio a causa delle preoccupazioni relative al COVID-19, molti si sono trovati inclini a maggiori ri ...

Errori comuni nell’archiviazione dei dati: quali sono e come evitarli ?

Leggi tutto...
Errori comuni nell’archiviazione dei dati: quali sono e come evitarli? Siamo nell’era digitale in cui di dati e le informazioni sul web sono una componente chiave di qualsiasi tipo di ...

Consigli sulla sicurezza: come il vostro computer potrebbe compromettersi nel momento peggiore

Leggi tutto...
La sicurezza del proprio dispositivo è oggi qualcosa a cui si deve prestare una particolare attenzione. La rete è invasa da sempre più pericoli, in grado di compromettere i vost ...

Scegliere una password sicura per qualsiasi account

Leggi tutto...
Al giorno d'oggi è estremamente facile subire un attacco ai propri account, specie se riguardano servizi bancari o postali o permettono di fare acquisti online. Per poter evitare che i ...