L’ordinaria insicurezza della posta elettronica

Oggi rispondo ad una chiamata di cortesia di un cliente che ha ricevuto diverse e-mail contenenti variegate comunicazioni illegali, apparentemente provenienti dal mio indirizzo e-mail professionale.

Come da tempo cerco di spiegare, per i messaggi e-mail standard non esiste la certezza che chi ha inviato il messaggio sia chi dice di essere.

Il vetusto protocollo smtp consente di forgiare messaggi ad-hoc, apparentemente provenienti da uno specifico mittente ma inviato da malintenzionati per scopi illeciti; è anche possibile far apparire il messaggio come se sia stato inviato da noi stessi, tentando in tale modo di far credere che l’account sia stato compromesso (quando non addirittura il pc dell’utente, ne avevo gia scritto in altri post, ad esempio qui e qui).

Nell’attesa che chi decide il funzionamento dei protocolli (in questo caso smtp) decida di introdurre funzioni di autenticazione-certificazione del mittente, gli utenti possono adottare alcune accortezze per accorgersi dei messaggi falsi.

Tutti i messaggi che sono da me inviati vengono firmati digitalmente (la coccardina rossa che si evidenzia nel client di posta elettronica); in sua assenza, il messaggio non è autentico.

Per le comunicazioni importanti utilizzo esclusivamente la posta elettronica certificata (non che sia la panacea di tutti i mali, anzi); in alternativa propongo l’adozione di ProtonMail.

Frauders known your old passwords. Access data must be changed.

Continua il “bombardamento” delle caselle e-mail con messaggi che tentano di truffare i soggetti destinatari; ancora una volta il messaggio, in inglese, asserisce di avere compromesso il computer, con un trojan virus. Da mesi controllerebbe il soggetto, avendo avuto accesso completo al PC; nel frattempo avrebbe realizzato un video compromettente che ” with one click of the mouse” invierebbe a tutti i nostri corrispondenti e contatti in giro per il mondo, ecc. ecc. Onde evitare la catastrofe, occorrerebbe inviare $733 al suo wallet bitcoin.

Attenzione: non pagate assolutamente in quanto questo messaggio è quasi certamente falso; fate controllare il vostro PC da un (vero) esperto di sicurezza informatica se volete essere tranquillizzati.

Spero che le forze di polizia trovino il tempo di perseguire questi miserabili, che credono di poter delinquere rimanendo impuniti.

Sappiate che gli indirizzi bitcoin sono rintracciabili.

Your account has been hacked! You need to unlock.

Dopo Alto Pericolo! , continua la saga dei messaggi di truffa ai danni degli account e-mail italiani; questa volta il messaggio, in inglese, asserisce di avere compromesso il nostro router (sfruttando una vulnerabilità); da tale trojan si sarebbe intrufolato nel PC, prendendone il controllo, ed accorgendosi delle “frequentazioni” di siti per adulti.

Poi avrebbe fatto screenshots, e bla bla bla… ; per avere il suo silenzio, occorre versare 670$ “I think is a very, very small amount for my silence”, ovviamente in BitCoin.

Conclude con “Do not hold evil! I just do my job. Have a nice day!”

Attenzione: nei casi che ho analizzato, gli account non sono stati compromessi; si tratta di una tecnica che consente di inviare un messaggio e-mail forgiando il mittente in modo da far sembrare che il messaggio sia stato inviato dal vostro server di posta.
Tutti i messaggi provenivano da un indirizzo IP sudafricano.

Ovviamente la certezza si ottiene analizzando gli headers del messaggio oppure i log del mail-server che ha ricevuto il messaggio.
Se volete avere la sicurezza che il vostro account non sia stato compromesso, contattatemi per le attività di security assessment del vostro device; di norma esse possono essere condotte anche tramite supporto remoto.

Non pagate assolutamente in quanto dareste spago ad altri criminali per tuffarsi nel “business”; il portafoglio del precedente messaggio “Alto Pericolo” ha incassato quasi 5 bitcoin (circa 16.600 euro), mentre quello del messaggio recente totalizza adesso 5 versamenti di soggetti che hanno abboccato.

Alto pericolo! Il tuo account è stato attaccato

Continuano le insidiose campagne di phishing-scam-truffa da parte di delinquenti che simulano di avere “pieno accesso al tuo accont” e-mail inviando una e-mail forgiata ad-hoc per sembrare proveniente dallo stesso account (dichiarato come compromesso).

Nel testo del messaggio indicano che “hanno infettato il pc con un malware presente in un sito per adulti”, che “hanno registrato un video tramite la webcam” e che lo “invieranno a tutti i contatti” qualora non si paghino 210 euro in bitcoin entro 48 ore.

ATTENZIONE – NON PAGATE ASSOLUTAMENTE!
Nei casi che abbiamo analizzato, non vi era stata alcuna compromissione, ma solo una falsa attestazione; in ogni caso, non vi è alcuna certezza che il malvivente manterrebbe quanto promesso.

Qualora il messaggio scam abbia interessato accounts aziendali, è necessario far verificare – con assoluta certezza – che l’evento non sia effettivamente accaduto, in quanto si tratterebbe di data breach.

Se volete avere la certezza che il vostro account non sia stato compromesso, contattatemi per le attività di security assessment del vostro device; di norma esse possono essere condotte anche tramite supporto remoto.

In ogni caso è sempre buona norma sostituire la password degli account e-mail interessati; vedasi l’articolo Collection #1.

Aggiornamento: circola anche una altra versione del tentativo di truffa, dal titolo “Questo è il mio ultimo avvertimento“, e sulla falsariga del precedente ha “un video imbarazzante che spedirò a tutti i tuoi amici”, e chiede 2.000 euro in bitcoin (con tanto di esatta conversione bitcoin-euro).

Il primo scam-truffa proveniva dalla Ucraina, è stato segnalato alla funzione abuse dell’internet provider ed attualmente il mailserver (compromesso) è stato messo offline.

Il secondo mailserver utilizzato è negli Stati Uniti, appare in uso a soggetti cinesi; è stato segnalato ed attendiamo provvedimenti dal cloud provider – update anche il secondo mailserver è down!

Aggiornamento giorno 2: questo post sta avendo un enorme traffico, e stò ricevendo molte richieste di informazioni alle quali non potrò dare seguito; chi lo ritiene si rivolga alla Polizia Postale.
Purtroppo alcuni sono caduti nella truffa, da quanto si evince dal saldo del wallet bitcoin del primo messaggio (0.98328264 BTC alle ore 22:50 del 15 gennaio – il secondo wallet è fortunatamente ancora a zero).

Aggiornamento giorno 3: ancora ulteriori pagamenti sul primo wallet; 2.22784895 BTC alle ore 22.00. Da non credere!

Aggiornamento giorno 4: continua lo spam con il messaggio “Alto pericolo!”, adesso proveniente da un indirizzo IP della Turchia; continuano ad abboccare le persone che ricevono lo scam-truffa (sino ad oggi il wallet ha ricevuto 40 transazioni).

Aggiornamento giorno 8: dai dati, sembra che il picco sia passato; riporto una analisi degli accessi aggregati al sito:

come si può vedere, il massimo delle ricerche è stato il 15 gennaio, giorno successivo al manifestarsi della attività di spam – scam.

Ad oggi, il conto bitcoin indicato nel primo messaggio ha totalizzato 67 transazioni, per un valore totale di circa 4,5 bitcoin, equivalenti a circa 14.100 euro.