Email Phishing: truffe su Internet - the

Email Phishing: truffe su Internet
Disclaimer
Questo documento può essere liberamente copiato e distribuito da chiunque, ma a nessuno è permesso di
cambiarlo in alcun modo. Ogni copia o documento derivato dovrà riportare l'indicazione alla fonte.
Qualsiasi commento o suggerimento è benvenuto e può essere inviato al seguente indirizzo:
segoXtechtown.it (sostituite la X con @).
Eventuali correzioni di questa pubblicazione saranno disponibili sul sito internet http://www.techtown.it
Introduzione
Ho deciso di scrivere questo breve articolo dopo che stamattina scaricando la posta ho notato nella mailbox di
TechTown una strana mail proveniente da PayPal.
La mail riportava subject: PayPal Account Security Measures.
La domanda che mi è sorta subito spontanea è perchè diavolo mai mi fosse arrivata una “ipotetica” mail da
parte di PayPal a quell’indirizzo di posta, visto e considerato che ho si’ un account PayPal ma con un altro
indirizzo di posta.
La cosa mi è subito suonata alquanto strana, tant’è che ho dato un occhio alla mail senza cliccare su alcun
link presente.
Incuriosito dalla cosa, ma avevo già immaginato che si trattasse della classica mail di phishing,mi sono messo
a controllare meglio la struttura della mail.
Analisi della mail sospetta
Questo è uno screenshot della mail cosi’ come si presenta all’apertura di Outlook Express.
A prima vista sembrerebbe una normalissima mail inviata dal supporto tecnico di PayPal, in realtà oltre a
quanto già detto sopra nell’introduzione, mi ha insospettito anche il fatto che la mail fosse in inglese.
Io infatti mi sono iscritto sul sito http://www.paypal.it/ (o meglio http://www.paypal.com/it/ ) e tutte le
comunicazioni mail arrivatemi finora erano in italiano.
Per prima cosa ho quindi pensato di dare un occhio agli header della mail corrente e confrontarli con quelli di
una reale mail proveniente da PayPal.
- ESTRATTO HEADERS MAIL FASULLA Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: (qmail 24524 invoked by uid 89); 24 Mar 2005 21:49:03 -0000
Received: by simscan 1.0.8 ppid: 24496, pid: 24522, t: 0.1375s
scanners:none
Received: from unknown (HELO 62.149.128.67) (66.219.101.1)
by mxavas7.aruba.it with SMTP; 24 Mar 2005 21:49:03 -0000
Received: from f1gz.kcboieg.com [206.117.196.180] by 62.149.128.67 with ESMTP id 51347689; Fri, 25 Mar
2005 02:40:03 +0500
- ESTRATTO HEADERS MAIL CORRETTA Return-Path: <[email protected]>
Received: from vsmtp7alice.tin.it (192.168.70.234) by ims9a.cp.tin.it (7.0.027)
id 4200065900698451 for xxxxxxx; Thu, 24 Mar 2005 18:22:55 +0100
Received: from outbound2.den.paypal.com (216.113.188.112) by vsmtp7alice.tin.it (7.0.027)
id 4227EE16003017A1 for xxxxxx; Thu, 24 Mar 2005 18:22:55 +0100
Received: from denweb81.den.paypal.com (denweb81.den.paypal.com [10.191.12.129])
by outbound2.den.paypal.com (Postfix) with SMTP id 4797935C077
for <xxxxxx>; Thu, 24 Mar 2005 09:22:54 -0800 (PST)
Appare subito chiara la differenza tra server di partenza sconosciuto e server di partenza effettivamente
PayPal.
Questo non ha fatto altro che confermare le mie ipotesi iniziali. Una classica email di phishing.
Ma proseguiamo e cerchiamo di capire cosa effettivamente avrebbe comportatato il cliccare su uno dei link
presentati nella mail.
In particolare il cliccare su https://www.paypal.com/cgi-bin/webscr?cmd=_update
Per capirlo diamo una sbirciata al codice della mail.
Salviamo quindi la nostra mail come pagina .html e consultiamone il codice sorgente.
Navigando su e giù troviamo questo interessante snapshot di codice html.
<FORM target="_blank" ACTION=http://rds.yahoo.com/*http://www.google.com/url
METHOD=get>
<INPUT TYPE=HIDDEN NAME=q
VALUE=http://rds.yahoo.com/*http://218.57.129.20/%6D%61%6E%75%61%6C/webscr/>
<input type=submit style="color:#000080; border:solid 0px; background:#white;"
value=https://www.paypal.com/cgi-bin/webscr?cmd=_update>
</form>
Cerchiamo di capire bene come è strutturato questo form.
Innanzitutto il target del form sarà una nuova pagina che punti all’indirizzo:
http://rds.yahoo.com/*http://www.google.com/url
Abbiamo il classico bottone su cui tipicamente clicchiamo per inviare un form questa volta è in realtà ben
camuffato tanto da sembrare il classico link.
Ma la cosa più interessante è il campo nascosto.
Il nome del campo è q e il suo valore è il seguente:
http://rds.yahoo.com/*http://218.57.129.20/%6D%61%6E%75%61%6C/webscr/
Per chi non avesse capito cosa comporta il click sul “finto link”, la cosa è presto spiegata.
In pratica non si fa altro che inviare alla pagina target la variabile q col valore scritto poco sopra.
Per chi non lo sapesse scrivere una cosa del tipo http://<url1>/*http://<url2> non fa altro che indirizzare il
browser dell’utente verso url2 attraverso una specie di redirect da url1.
In pratica la pagina target per il nostro form sarà: http://www.google.com/url
A questo va aggiunto che passeremo la variabile q. Il risultato finale è questo dunque:
http://www.google.com/url?q=http://218.57.129.20/%6D%61%6E%75%61%6C/webscr/
E questo non fa altro che indirizzare verso la pagina fasulla appositamente costruita dal phisher:
http://218.57.129.20/%6D%61%6E%75%61%6C/webscr/
La pagina web che si presenta davanti gli occhi dell’utente è la seguente:
Come si può notare la pagina web sembra in tutto e per tutto una classica pagina di paypal.
E’ chiaro che un utente medio puo’ accorgersi del fatto che l’indirizzo sul barra di Firefox o IE è ben diverso da
http://www.paypal.com , ma non tutti prestano attenzione o hanno un minimo di conoscenza per porsi il
problema.
Non dobbiamo infatti dimenticare che il livello di conoscenza informatica dell’utonto non è molto buono,
dunque le probabilità che cada in tranelli come questi sono molto alte, come dimostrano le numerose
denuncie per truffe di questo tipo o basti pensare alla ormai famosa mail nigeriana, forse una delle catene di
Sant Antonio più celebri!
CONCLUSIONI
Il panorama del phishing di certo non si esaurisce qui.
I consigli che vi posso dare sono gli stessi che magari avrete già sentito tante volte o letto dovunque, ma che
magari non sempre avete rispettato:
1. non cliccare su mail o link di dubbia provenienza, in particolare dubitare di contenuti che ci vengono
proposti come sicuri, quando non c’è possibilità pratica di verificare che lo siano
2. mantenere sempre aggiornato il proprio browser, meglio disporre di uno o più browser. Firefox è un
client decisamente più sicuro rispetto ad IE, ma questo non toglie che pure lui sia stato interessato da
bug e problemi di sicurezza che rendessero la vita più facile ai phishers.
3. prestare attenzione alla barra degli indirizzi: attenzione perché a volte in certe pagine si procede ad
una “furba” sostituzione della barra degli indirizzi e a causa di bug è possibile che non venga
visualizzato l’url reale (ecco il perché di mantenere sempre aggiornati i browser).
4. leggere e documentarsi, e chiedere eventualmente in forum di discussione consigli a qualcuno più
esperto, specie se quello che ci siamo trovati davanti già ci puzza di bruciato.
Questo breve articoletto potrà sembrare stupido ad alcuni, nonché semplice e banale, ma il suo scopo è quello
di sensibilizzare per quanto possibile chi l’informatica non la mastica neanche lontanamente.
Spero che possa tornare veramente utile a qualcuno.
Come sempre sono ben accetti feedback, suggerimenti e proposte di miglioramento/ampliamento del paper.
Massimo Rabbi aka Sego
LINKS E RIFERIMENTI UTILI
http://www.antiphishing.org/
http://www.fraudwatchinternational.com/internet/phishing.shtml
http://secunia.com/product/11/
http://secunia.com/product/4227/
http://www.microsoft.com/italy/athome/security/spam/phishing.mspx
http://www.i-dome.com/flash-news/pagina.phtml?_id_articolo=6542
http://www.lastknight.com/Introduzione-al-Phishing.aspx