Analisi di uno spoofing postale
Dopo aver fatto notizia da alcuni giorni, l'evento che ha visto Poste Italiane sotto attacco, la rete si è riempita d'articoli ipotizzando, e indicando aggressori al sito e ai dati in esso contenuti, come a intimorire eventuali clienti.
Da tempo, anche chi non usufruisce del servizio, si vede recapitare nella propria casella postale, avvisi di aggiornamento dei propri dati, pena la cancellazione dell'accaunt e peggio.
La cosa è alquanto ridicola, primo perché nessun istituto bancario si sognerebbe mai di pretendere l'aggiornamento dei dati, attraverso una e-mail, secondo perché spesso sono in italiano maccheronico e terzo perché proprio non si detiene un conto corrente abbinato al servizio.
Però si fa forza sui numeri dei vari utenti Internet che non sono per nulla informati e vedono la rete come un trenino per bambini, che di danni non ne fa poi molti. Ultimamente tali messaggi anche forti da quanto accaduto di recente, insistono ripetutamente nella speranza che qualche intimorito, si connetta al link del messaggio ed inserisca i dati richiesti.
Per fortuna quasi immediatamente i moderni sistemi di navigazione, segnalano la possibile frode e di solito la Polizia Postale ha già provveduto a bloccare l'indirizzo.
Analizzando le intestazioni del messaggio ci si può fare un'idea di quanto lavori la persona per raccogliere un paio di dati per scopi certamente illeciti.
Received-SPF: none (relay-avs9.poste.it: domain it.net does not designate permitted sender hosts) identity=helo; receiver=relay-avs9.poste.it; client_ip=72.17.202.50; helo=it.net;
Received-SPF: none (relay-avs9.poste.it: domain it.net does not designate permitted sender hosts) identity=mailfrom; receiver=relay-avs9.poste.it; client_ip=72.17.202.50; envelope-from=poste@it.net; helo=it.net;Received: from it.net (72.17.202.50) by relay-avs9.poste.it (8.5.016.6)
Spiegato spicciolo, significa che il messaggio è partito dall'indirizzo 72.17.202.50 (che si trova negli USA e tenta poi l'escalation per farsi passare come inviato da un altro servizio per apparire nel messaggio come proveniente da Poste Italiane.
Il link re invia il tutto all'indirizzo IP 190.145.21.29, situato in Bogotà gestito da Telmex Colombia S.A come ISP. Come a far credere che il malfattore si trovi da quelle parti. Contando forse che è facile l'abbinamento Colombia=delinquente. Ma come abbiamo visto sopra, l'e-mail è pratita dalla Florida.
Ad ogni conto, anche arrivando al sito preciso, probabilmente si incontra una macchina mal configurata, che permette il relay magari dalla Russia o dalla Cina. In tutti i casi, non dall'Italia e sicuramente non da Poste Italiane che ha i propri servizi sul loro server con tanto di IP fisso dichiarato 62.241.4.35.
Resta solo da capire perché Poste Italiane non filtri come SPAM, questo tipo di messaggi, visto che si ricevono nelle loro caselle di posta elettronica.
Da tempo, anche chi non usufruisce del servizio, si vede recapitare nella propria casella postale, avvisi di aggiornamento dei propri dati, pena la cancellazione dell'accaunt e peggio.
La cosa è alquanto ridicola, primo perché nessun istituto bancario si sognerebbe mai di pretendere l'aggiornamento dei dati, attraverso una e-mail, secondo perché spesso sono in italiano maccheronico e terzo perché proprio non si detiene un conto corrente abbinato al servizio.
Però si fa forza sui numeri dei vari utenti Internet che non sono per nulla informati e vedono la rete come un trenino per bambini, che di danni non ne fa poi molti. Ultimamente tali messaggi anche forti da quanto accaduto di recente, insistono ripetutamente nella speranza che qualche intimorito, si connetta al link del messaggio ed inserisca i dati richiesti.
Per fortuna quasi immediatamente i moderni sistemi di navigazione, segnalano la possibile frode e di solito la Polizia Postale ha già provveduto a bloccare l'indirizzo.
Analizzando le intestazioni del messaggio ci si può fare un'idea di quanto lavori la persona per raccogliere un paio di dati per scopi certamente illeciti.
Received-SPF: none (relay-avs9.poste.it: domain it.net does not designate permitted sender hosts) identity=helo; receiver=relay-avs9.poste.it; client_ip=72.17.202.50; helo=it.net;
Received-SPF: none (relay-avs9.poste.it: domain it.net does not designate permitted sender hosts) identity=mailfrom; receiver=relay-avs9.poste.it; client_ip=72.17.202.50; envelope-from=poste@it.net; helo=it.net;Received: from it.net (72.17.202.50) by relay-avs9.poste.it (8.5.016.6)
Spiegato spicciolo, significa che il messaggio è partito dall'indirizzo 72.17.202.50 (che si trova negli USA e tenta poi l'escalation per farsi passare come inviato da un altro servizio per apparire nel messaggio come proveniente da Poste Italiane.
Il link re invia il tutto all'indirizzo IP 190.145.21.29, situato in Bogotà gestito da Telmex Colombia S.A come ISP. Come a far credere che il malfattore si trovi da quelle parti. Contando forse che è facile l'abbinamento Colombia=delinquente. Ma come abbiamo visto sopra, l'e-mail è pratita dalla Florida.Ad ogni conto, anche arrivando al sito preciso, probabilmente si incontra una macchina mal configurata, che permette il relay magari dalla Russia o dalla Cina. In tutti i casi, non dall'Italia e sicuramente non da Poste Italiane che ha i propri servizi sul loro server con tanto di IP fisso dichiarato 62.241.4.35.
Resta solo da capire perché Poste Italiane non filtri come SPAM, questo tipo di messaggi, visto che si ricevono nelle loro caselle di posta elettronica.
Nessun commento:
Posta un commento