L’ordinaria insicurezza della posta elettronica

Oggi rispondo ad una chiamata di cortesia di un cliente che ha ricevuto diverse e-mail contenenti variegate comunicazioni illegali, apparentemente provenienti dal mio indirizzo e-mail professionale.

Come da tempo cerco di spiegare, per i messaggi e-mail standard non esiste la certezza che chi ha inviato il messaggio sia chi dice di essere.

Il vetusto protocollo smtp consente di forgiare messaggi ad-hoc, apparentemente provenienti da uno specifico mittente ma inviato da malintenzionati per scopi illeciti; è anche possibile far apparire il messaggio come se sia stato inviato da noi stessi, tentando in tale modo di far credere che l’account sia stato compromesso (quando non addirittura il pc dell’utente, ne avevo gia scritto in altri post, ad esempio qui e qui).

Nell’attesa che chi decide il funzionamento dei protocolli (in questo caso smtp) decida di introdurre funzioni di autenticazione-certificazione del mittente, gli utenti possono adottare alcune accortezze per accorgersi dei messaggi falsi.

Tutti i messaggi che sono da me inviati vengono firmati digitalmente (la coccardina rossa che si evidenzia nel client di posta elettronica); in sua assenza, il messaggio non è autentico.

Per le comunicazioni importanti utilizzo esclusivamente la posta elettronica certificata (non che sia la panacea di tutti i mali, anzi); in alternativa propongo l’adozione di ProtonMail.

Frauders known your old passwords. Access data must be changed.

Continua il “bombardamento” delle caselle e-mail con messaggi che tentano di truffare i soggetti destinatari; ancora una volta il messaggio, in inglese, asserisce di avere compromesso il computer, con un trojan virus. Da mesi controllerebbe il soggetto, avendo avuto accesso completo al PC; nel frattempo avrebbe realizzato un video compromettente che ” with one click of the mouse” invierebbe a tutti i nostri corrispondenti e contatti in giro per il mondo, ecc. ecc. Onde evitare la catastrofe, occorrerebbe inviare $733 al suo wallet bitcoin.

Attenzione: non pagate assolutamente in quanto questo messaggio è quasi certamente falso; fate controllare il vostro PC da un (vero) esperto di sicurezza informatica se volete essere tranquillizzati.

Spero che le forze di polizia trovino il tempo di perseguire questi miserabili, che credono di poter delinquere rimanendo impuniti.

Sappiate che gli indirizzi bitcoin sono rintracciabili.

Your account has been hacked! You need to unlock.

Dopo Alto Pericolo! , continua la saga dei messaggi di truffa ai danni degli account e-mail italiani; questa volta il messaggio, in inglese, asserisce di avere compromesso il nostro router (sfruttando una vulnerabilità); da tale trojan si sarebbe intrufolato nel PC, prendendone il controllo, ed accorgendosi delle “frequentazioni” di siti per adulti.

Poi avrebbe fatto screenshots, e bla bla bla… ; per avere il suo silenzio, occorre versare 670$ “I think is a very, very small amount for my silence”, ovviamente in BitCoin.

Conclude con “Do not hold evil! I just do my job. Have a nice day!”

Attenzione: nei casi che ho analizzato, gli account non sono stati compromessi; si tratta di una tecnica che consente di inviare un messaggio e-mail forgiando il mittente in modo da far sembrare che il messaggio sia stato inviato dal vostro server di posta.
Tutti i messaggi provenivano da un indirizzo IP sudafricano.

Ovviamente la certezza si ottiene analizzando gli headers del messaggio oppure i log del mail-server che ha ricevuto il messaggio.
Se volete avere la sicurezza che il vostro account non sia stato compromesso, contattatemi per le attività di security assessment del vostro device; di norma esse possono essere condotte anche tramite supporto remoto.

Non pagate assolutamente in quanto dareste spago ad altri criminali per tuffarsi nel “business”; il portafoglio del precedente messaggio “Alto Pericolo” ha incassato quasi 5 bitcoin (circa 16.600 euro), mentre quello del messaggio recente totalizza adesso 5 versamenti di soggetti che hanno abboccato.

Phishing “Avviso AV”

Informo di una nuova e particolarmente subdola campagna di phishing.

Arriva un messaggio che appare inviato dal proprio indirizzo di posta; il truffatore vi spiega che “ha violato il tuo account” ed “ha pieno accesso al tuo dispositivo; in effetti ho inserito un malware nel sito web di adulti che hai visitato ….”.
Quindi afferma che “ho compromesso il tuo browser e registrato un video durante questo accesso”, e che lo invierà ai tuoi contatti se non riceverà $450 tramite bitcoin, “un prezzo equo per il nostro segreto”.

Attenzione: mantenete la calma e non pagate assolutamente nulla!

Per tranquillità, denunciate l’accaduto alla Polizia Postale, controllate la sicurezza dei vostri dispositivi e cambiate la password di accesso all’account e-mail; sono piuttosto sicuro che il truffatore non ha compromesso nulla; ha solo inviato una e-mail forgiata per apparire proveniente dal vostro account.

Nei messaggi che ho analizzato, viene usato un italiano abbastanza buono; l’indirizzo IP sorgente fa capo ad un provider del Vietnam; come al solito, il problema deriva dalla non più accettabile insicurezza del protocollo smtp.

Sarebbe ora di metterci sopra le mani? (Ovviamente intendo nel protocollo smtp).

Aggiornamento1: la Polizia Postale avverte della campagna di phishing in una apposita pagina.

Aggiornamento2: sembra che diversi soggetti abbiano pagato la somma richiesta; ma informarsi o rivolgersi a qualcuno esperto prima di farsi prendere dal panico no, vero?