Una mail ben congegnata

Discussioni generali sulla sicurezza e sulla privacy
Rispondi
LoryOne
Senior Member
Senior Member
Messaggi: 28
Iscritto il: 19/07/2018, 9:56
Stato: Non connesso

Una mail ben congegnata

Messaggio da LoryOne » 11/01/2019, 22:21

Ciao a tutti.
Quest'oggi ho ricevuto una mail molto simile a quella che trovate riportata qui: https://www.bleepingcomputer.com/news/s ... ult-sites/ e che spiega trattasi di scam, cioe' una mail estorsiva monetaria, per l'esattezza in bitcoin.
Ebbene, aggiungero' giusto qualche indicazione alla pagina dedicata su www.bleepingcomputer.com, cosi' da soffermarmi su quelle che sono, a mio avviso, tecniche di pregio nel testo della mail che fanno un buon uso dell'ingegneria sociale per indurre la vittima ad effettuare il pagamento; Aggiungero' anche qualche info tecnica per iniziare a farsi un'idea dell'infondatezza del contenuto della mail, cosi' da ritenerla cestinabile immediatamente.

Attenzione:
Come ho gia' spiegato all'inizio, la mail giuntami e' simile, non uguale; La differenza sta nel fatto che non v'e' traccia di alcuna password indicata relativamente ad uno o piu' account riconducibili alla mia persona.
Nel caso trovaste corrispondenza nelle vostre, seguite cio che suggerisce www.bleepingcomputer.com, magari facendo uso di google traduci se trovate difficolta' a comprendere il testo.

Cominciamo:
Pubblico integralmente l'intestazione della mail, modificando solo alcune informazioni che possono ledere la mia privacy, ma senza cambiare la sostanza:

Codice: Seleziona tutto

Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: from xxx.xxx.xxx ([xxx.xxx.xxx.xxx])
	by MN-01-2018.xxx.xxx with LMTP
	id WGJ4LGkAAA0Vb2/Q
	(envelope-from <[email protected]>)
	for <[email protected]>; Wed, 00 Jan 2019 00:46:49 +0100
Received: from localhost (localhost [127.0.0.1])
	by xxx.xxx.xx (Postfix) with ESMTP id 6D20D1392
	for <[email protected]>; Wed, 00 Jan 2019 00:46:49 +0100 (CET)
X-Virus-Scanned: xxx-xxxxx at xxx.xxx
X-Spam-Flag: YES
X-Spam-Score: 17.467
X-Spam-Level: *****************
X-Spam-Status: Yes, .....
Received: from xxx.xxx.xxx ([127.0.0.1])
	by localhost (xxx.xxx.xxx [127.0.0.1]) (xxx.xxx, port 1234)
	with LMTP id 7RwOKnh4u for <[email protected]>;
	Wed,  00 Jan 2019 00:46:48 +0100 (CET)
Received: from mail.glch.ru (mx.glch.ru [195.110.63.246])
	by xxx.xxx.xxx (Postfix) with ESMTP id 55020D1390
	for <[email protected]>; Wed,  00 Jan 2019 00:46:48 +0100 (CET)
Received: from localhost (localhost [127.0.0.1])
	by mail.glch.ru (Postfix) with ESMTP id 21DD0D83
	for <[email protected]>; Wed, 00 Jan 2019 09:46:47 +0400 (MSK)
X-Virus-Scanned: amavisd-new at fondchizhova.ru
Received: from Detective81646 (unknown [117.1.234.241])
	by mail.glch.ru (Postfix) with ESMTPSA id 5FDF0D84
	for <[email protected]>; Wed, 00 Jan 2019 09:46:43 +0400 (MSK)
Content-Type: multipart/alternative; boundary="6VUQgL50dDq6dkz"
MIME-Version: 1.0
Date: Wed, 00 Jan 2019 10:45:44 -0000
From: [email protected]
To: [email protected]
Subject: This account has been hacked! Change your password right now!
Message-Id: <[email protected]>

--6VUQgL50dDq6dkz
MIME-Version: 1.0
Content-Type: text/html; charset="utf-8"
Content-Transfer-Encoding: base64
L'intestazione di una mail va letta sempre partendo dal basso verso l'alto, cosi' che l'ultimo server di posta indicato diventi il primo dal quale iniziare la verifica del percorso che la mail ha compiuto dalla sorgente per giungere alla destinazione.
Nel testo della mail che trattero' dettagliatamente piu' avanti, si fa' esplicito riferimento al fatto che il presunto hacker abbia utilizzato il mio stesso account per spedirmela: Niente di piu' falso, poiche' il server dal quale e' partita la mail, ha un dominio .ru e l'IP indicato non coincide con quello del mio account sul server di posta del mio Provider. Questo e' gia' un indizio per cominciare a storcere il naso, ma andiamo avanti.
Senza dilungarmi sulla spiegazione di tutto l'header, mi limito a riportare che la mail e' partita da un server presumibilmente russo (si puo' comunque verificare la nazionalita' dell' IP) e' giunta al server di posta del mio Provider che ha poi proceduto a scansionarla ed immetterla nella mia casella.

Fin qui tutto normale, poiche' sembrerebbe priva di malware allegato o link a siti poco raccomandabili e/o compromessi.
Il testo del corpo della mail, pero', non e' in chiaro, bensi' codificato in base64.
Si sceglie questo tipo di codifica non tanto perche' non interpretabile da eventuali antimalware locali o sul server di posta, quanto perche' non si riesce a leggerla; L'intento e' proprio quello di rendere comprensibile la mail solo all'interno del client che esegue codice insidioso.

Quando non si e' convinti della bonta' di una mail, e' meglio non aprirla mai nel proprio client di posta, mentre e' consigliabile vederne il contenuto testuale che, in questo caso, non e' comprensibile salvo decodifica.
Pertanto basta cercare un decodificatore base64 in internet, copiare il testo della mail codificata ed incollarlo nell'apposito riquadro messo a disposizione dal form del sito scelto, per ottenere il testo della mail in chiaro.

Adesso veniamo al sodo:
Perche' ho tirato in ballo l'ingegneria sociale ed ho intitolato il post "mail ben congegnata" ?
Beh, in primo luogo il titolo indica che il mio account e' stato hackerato, quindi dovrebbe spingermi ad essere curioso e procedere all'apertura.
In secondo luogo, indica una tipologia di interesse che tutti conosciamo in internet, soffermandosi con grande enfasi sul fatto che ha compromesso proprio quel sito con un malware le cui potenzialita' d'infezione sono effettivamente possibili nei termini da lui descritti. (Server RDP non patchato ed attivo, keylogger e webcam attivabili a comando)
In terzo luogo, aumenta maggiormente il livello di enfasi, inculcando una sorta di dubbio con l'affermazione che e' da tempo che ha adoperato la compromissione.
Chiaramente, cio che da ad intendere e' che piu' tempo passa e piu' informazioni puo' aver acquisito.
Ecco che da qui in poi inizia il timore che abbia ragione, ma non e' mica finita li !
Si passa, dunque, alla minaccia di pubblicizzare i video visionati corredati da foto prelevate da webcam mentre si era davanti al monitor.
Infine l'ultimo atto, ossia paga perche' non potresti farci nulla, visto che se anche rimuovessi il malware, tutto il contenuto sarebbe gia' stato salvato altrove su un server in mano all' "hacker".

Decisamente un'ottimo stratagemma psicologico, non trovate ?
Ebbene si, l'ingegneria sociale e' proprio quella tecnica che fa presa sulle debolezze umane la dove la macchina fallisce nell'azione di turlupinare il suo obiettivo.
A volte fa piu' male un semplice testo che un programma malevolo.

ps: Il presunto hacker si e' poi scusato molto ironicamente con la seguente frase "Nno avercela con me, d'altronde ognuno fa il suo lavoro",
Dimenticavo...ho cestinato la mail e son tranquillo ;-)
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice

Avatar utente
cippico
Senior Member
Senior Member
Messaggi: 39
Iscritto il: 15/07/2018, 15:05
Stato: Non connesso

Re: Una mail ben congegnata

Messaggio da cippico » 12/01/2019, 14:59

sempre utili questi tipi di suggerimenti... :clap:

grazie e ciaooo

LoryOne
Senior Member
Senior Member
Messaggi: 28
Iscritto il: 19/07/2018, 9:56
Stato: Non connesso

Re: Una mail ben congegnata

Messaggio da LoryOne » 15/01/2019, 21:54

Un'ulteriore accorgimento da adottare, anche se avete verificato l'inconsistenza della mail in riferimento al contenuto decrittato, e' quello di non provare comunque ad aprirla nel vostro client di posta (o col browser in webmail), poiche' il mittente potrebbe aver incluso uno o piu' tag in linguaggio html che implicano al vostro PC di connettersi necessariamente verso un server tenuto sotto controllo dall'attaccante, durante l'elaborazione della mail stessa.
Non fornire il vostro IP, quindi, magari per una scansione veloce di porte/protocolli propedeutica ad un pre-attacco su servizi in ascolto non opportunamente patchati, e' sempre una buona idea.
Cestinatela piuttosto, punto e basta.
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice

Avatar utente
Marco78
Senior Member
Senior Member
Messaggi: 46
Iscritto il: 21/07/2018, 23:08
Stato: Non connesso

Re: Una mail ben congegnata

Messaggio da Marco78 » 24/01/2019, 11:55

Anche a me i giorni scorsi, è arrivata la mail incriminata su un paio di miei account con domini di posta differenti. Ho fatto la stessa identica cosa che hai fatto tu! Per fortuna noi siamo piu' scafati e di queste cose ne "divoriamo" da anni. Sapendo come fare e cosa fare non abbiamo avuto problemi. Sfortunatamente ci sono troppi ignoranti informatici che,loro malgrado e senza preterintenzionalità, creano ulteriori danni anche agli altri! Logicamente mi riferisco alla fascia di eta' dai 50 agli 80 uomini e donne che usano il pc giusto per accedere a facebook, mandare qualche mail, usare i vari giochini online del social network, mandare qualche messaggio su whatsapp-telegram, aprire siti a contenuti XXX e poco piu'. Mi riferisco a quelli che è già tanto se sanno come il PC si accende e si spegne. Mi riferisco a quelli che cliccano in ogni banner luminoso, senza manco controllare cos'hanno cliccato. Mi riferisco a quelli che "mio cuggino mi ha detto che si fa così", "il mio amico tennico mi ha installato 3 antivirus e sono tranquillo", ecc...ecc... ecc... (non è un post polemico ;) )
:!: l'antivirus migliore?Quello tra la tastiera e la sedia :!:

LoryOne
Senior Member
Senior Member
Messaggi: 28
Iscritto il: 19/07/2018, 9:56
Stato: Non connesso

Re: Una mail ben congegnata

Messaggio da LoryOne » 24/01/2019, 18:57

Hai ragione: il vero problema in Italia e' che non si fa vera informazione. La vera informazione stimola a capire, ad essere buoni osservatori, ad analizzare con senso critico, a reperire nuove informazioni per rendere meno oscuro cio che stimola la tua curiosita' di apprendere. Non e' una questione di over una certa soglia di eta': Gia' da ragazzini si preferisce utilizzare internet solo per i social network senza capire cosa si stia facendo...Bisogna avere followers, like, altrimenti non sei nessuno.
Non troverai il sapere nei cellulari o nei tablet; Li, troverai solo procedure guidate punta-clicca per beoti amanti del pifferaio magico, di quello del "Non ti preoccupare, a te ci penso io, basta che clicchi": Cerca invece di capire prima di usare o, per meglio dire, farti usare.
Con cio non dico che i social network non siano da utilizzare, lo sono, ma "anche", non "solo" !
Per capire devi usare la tastiera, non quella del cellulare: devi impartire tu i comandi, non cliccare e basta perche' qualcun altro lo fa per te.
Questo e' fondamentale; Nel lavoro o a scuola cerca sempre di saperne di piu', di non farti abbindolare, di prevenire prima di piangere.
Analizzare prima di tutto, per comprendere.
Non esiste un solo sito da visionare, un solo metodo per imparare, perche' la cultura e' personale e la si crea da soli; Non c'e' nessuno che te la inculchi, se non una parte; Il resto spetta a te.
Dopo aver preso coscenza, ti accorgerai che l'hacker (volgarmente chiamato hacker nell'80% dei casi a torto) non ha fatto proprio nulla di speciale; Semplicemente tu hai seguito il pifferaio magico...
Practice feeds Skill,Skill limits Failure,Failure enhances Security,Security needs Practice

Avatar utente
Marco78
Senior Member
Senior Member
Messaggi: 46
Iscritto il: 21/07/2018, 23:08
Stato: Non connesso

Re: Una mail ben congegnata

Messaggio da Marco78 » 25/01/2019, 22:51

Loryone, mi trovi d'accordo su tutto! :clap: ;)
:!: l'antivirus migliore?Quello tra la tastiera e la sedia :!:

Rispondi