Proteggersi dal Phishing: come analizzare l’header di un email

headeranalysiscover - Proteggersi dal Phishing: come analizzare l'header di un email

Una delle insidie che si nascondono ogni giorno nell’utilizzo di internet è proprio il phishing: molte email le riconosci al primo sguardo, mentre altre sono di livello avanzato e anche l’occhio esperto può esser ingannato.

Per questo vediamo come analizzare l’header di una email per verificarne l’autenticità, possibile tramite l’accesso WEB al servizio mail oppure da Outlook:

Ad
  • aprire la mail da controllare
  • scegliere File quindi Proprietà
  • Nella voce Intestazioni Internet troviamo i dati che ci interessano.

Come leggere l’origine del messaggio

Prendiamo ad esempio questa email che non è stata riconosciuta dai vari provider di posta come SPAM ma che lo è palesemente.

header - Proteggersi dal Phishing: come analizzare l'header di un email
La parte iniziale dell’header

Return Path

Questo campo indica:

  • l’indirizzo email dove vengono veicolate eventuali notifiche di consegna o lettura
  • la convalida tramite l’SPF ovvero la verifica se l’indirizzo email è autorizzato a spedire da quell’host
  • questa però non impedisce di eseguire lo spoofing dell’indirizzo mail da parte di un attaccante

In questo caso l’indirizzo email definito dal return path è help@doulike.es e la protezione SPF ha lavorato bene visto il messaggio indicato:

"doulike.es does not designate permitted sender hosts"

Questo però non impedisce che venga usato l’indirizzo email per operazioni del genere.

Reply-To

Questa voce indica l’indirizzo email dove viene recapitata la risposta ed è quella che viene utilizzata quando si sceglie la voce Rispondi. Coincide con il valore indicato nel Return Path

Received

Questa voce è tra le più importanti se non quella più importante, in quanto ci permette di vedere il percorso seguito dalla mail per arrivare fino a noi, riuscendo così a vedere il server originario di inoltro.

Leggi  Migliaia di siti governativi USA e del Regno Unito infetti minavano monete virtuali

In questo caso il server è 213.174.153.6 il quale attraverso un comune servizio WHOIS è possibile identificarne la provenienza.

Le righe che iniziano con X

Tutte queste righe, che occupano gran parte dell’header, sono righe generate dai mail server e dai tool di sicurezza che analizzano, ad esempio, l’autenticità, filtri anti-spam ecc

Authentication-Result

Qui troviamo dati aggiuntivi come i seguenti:

Authentication-Results: spf=none (sender IP is 213.174.153.6)
smtp.mailfrom=doulike.es; hotmail.it; dkim=none (message not signed)
header.d=none;hotmail.it; dmarc=none action=none header.from=doulike.es;

dove troviamo l’IP di invio e la voce DKIM indica se la mail è firmata digitalmente oppure no.

Relay aperto?

I mittenti di SPAM spesso prendono di mira server SMTP con relay aperto in quanto permettono di esser usati per inviare email anche da parte di utenti locali o simili.

Per eseguire questo controllo basta usare uno dei vari servizi online per scansionare i servizi SMTP.

Connecting to 213.174.153.6

220 Hello! You have 3 wishes … [656 ms]
EHLO EC2AMAZ-CT1LM3F.mxtoolbox.com
250-mail2.doulike.com
250-PIPELINING
250-SIZE 102400000
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN DIGEST-MD5 CRAM-MD5 NTLM RPA OTP SKEY
250-ENHANCEDSTATUSCODES
250-8BITMIME
250-DSN
250 SMTPUTF8 [613 ms]
MAIL FROM:<supertool@mxtoolbox.com>
250 2.1.0 Ok [627 ms]
RCPT TO:<test@mxtoolboxsmtpdiag.com>
554 5.7.1 <test@mxtoolboxsmtpdiag.com>: Relay access denied [725 ms]

In questo caso il mittente non accetta mail di risposta, visto che la mail ha l’obiettivo di invogliare l’utente ad aprire il link malevolo.

Rapporto sulla reputazione delle minacce

In aggiunta l’IP trovato si può analizzare con servizi online come IBM X-Force Exchange o VirusTotal.

Questo può esser utile per avere la massima certezza che la mail provenga da fonti NON attendibili.

In questo caso l’URL di destinazione è palesemente diverso da quello ufficiale e rimanda ad un dominio con sede probabilmente in Polonia.

profilo01 80x80 - Proteggersi dal Phishing: come analizzare l'header di un email
Seguimi

Elvis

Microsoft MVP Windows Expert dal 2011 fino al 2017 e dal 2017 Microsoft MVP Windows Insider. Appassionato ed esperto dei sistemi Microsoft Windows e della sicurezza informatica.

In caso di difficoltà non esitate a commentare l'articolo; prima di fare modifiche al sistema è consigliato creare un punto di ripristino.

In caso di installazione di strumenti terzi prestare attenzione alle spunte ed alle installazioni supplementari superflue.
profilo01 80x80 - Proteggersi dal Phishing: come analizzare l'header di un email
Seguimi
(Visited 21 times, 1 visits today)
Ad