E-mail Phishing: come riconoscerle e analizzarle

Cari lettori di Tecnogalaxy, oggi riprenderemo l’argomento Phishing, andremo a vedere come riconoscere una mail di Phishing e come andare ad analizzarla con dei tool gratuiti reperibili sul web.

Nell’era 2.0, quella di internet, le truffe avvengono online. Non solo navigando sui siti web, ma anche via posta elettronica: nonostante gli enormi progressi nel settore della sicurezza informatica, con la creazione di efficientissimi filtri antivirus e antispam per l’e-mail, i messaggi di posta elettronica fraudolenti possono sfuggire a questi controlli, creando anche danni non indifferenti ai malcapitati truffati.

È ad esempio il caso delle e-mail di phishing, che spesso possono provenire anche da una fonte fidata e inviate da indirizzi considerati “affidabili” e dunque non bloccati dai filtri appositi. Incappare in una truffa è semplicissimo, cascarci decisamente meno, ma è comunque necessario prestare molta attenzione e sapere come riconoscere le e-mail di phishing.

Tipi di e-mail di Phishing

• Reconoissance: L’email viene inviata per capire se esiste l’account
• Spam: E’ una classica mail di pubblicità o una mail non autorizzata
• Falso Positivo: E’ quando una mail autentica non è correttamente autorizzata
• Credentila Harvester: Serve per prendere le credenziali, rimanda spesso ad un finto portale.
• Social Engineering: E’ un tipo di Phishing che passa per Voce o SMS
• Whaling: Quando vengono puntati personaggi di scpicco AD, CEO etc…
• Malicious Files: E’ un vero e proprio attacco con file malevoli

Tipi di attacchi di Phishing

• Spear Phishing: L’attacante investe molto tempo per creare un rapporto con la vittima per cercare la sua fiducia
• Impersonation: L’attacante si finge un’altra persona
• Typosqatting ed omografia: L’uso di domni simili con differenti lettere o caratteri di altri linguaggi che simulano i domini reali
• Sender Spoofing: Predceduto dall’harvester è una vera mail rubata
• Html Styling: E’ la ricostruzione di form reali di mail ricevute
• Attachments: Comprendono file noocivi e non nocivi fasulli
• Hyperlinks: Sono presenti link malevoli nelle mail
• Url Legitimate services: vengono usati servizi locali, ad esempio outlook.com per email fasulle
• Business email compromise: E’ la compromissione di un vero indirizzo aziendale

In una mail di phishing sono presenti alcuni dati chiamati (artefatti), che servono per una corretta

inspection della mail per capire da dove proviene.

Questi artefatti si dividono in tre categorie:

• Delle mail
• Dei file
• Del web

Artefatti delle mail

• Sending Email Address: indirzzo del mittente
• Subject Line: l’oggetto della mail
• Recipient Email Address: il destinatario della mail
• Sending Server IP e Reverse DNS: l’IP di partenza ed il DNS Name
• Reply to Address: in caso sia presente l’indirizzo di risposta
• Date e Time: il timestamp dell’invio del messaggio

Artefatti dei file

• Attachment Name: il nome del file o dei file
• SHA256 Hash Value: l’hash del file

Artefatti del web

• FULL URLs: i link completi dei puntamenti
• Root Domain: il root di domain degli url allegati ‘non essenziale però’

Raffigurazione di invio di una e-mail reale

Raffigurazione di invio di una e-mail fasulla

Negli ultimi anni la tecnica di Phishing si è affinata sempre di più fino ad arrivare a mail quasi perfette, sotto sotto la tecnica è sempre la stessa, ingannare il malcapitato a cliccare su un link o aprire un allegato presente nella mail ricevuta.

L’apertura di un file potrebbe generare diversi casi:

1. L’installazione di un virus.
2. La violazione del sistema operativo.
3. Il furto di credenziali.

Vediamo nel dettaglio cosa significano anche tecnicamente questi tre punti.

L’installazione di un virus.

Viene installato un software malevolo che permette di effettuare diverse cose sul computer infettato.

La violazione del sistema operativo.

L’intero computer viene violato e compromesso, in questo modo il cyber criminale può accedere la web came, il microfono …..il computer è in mano al cyber criminale.

Il furto di credenziali.

Il cyber criminale può eseguire lo step di furto delle credenziali con le relative password, che la vittima utilizza per accedere ai vari portali, social network, banca, scuola etc…..

Fortunatamente possiamo utilizzare due tools gratuiti reperibili sul web e funzionanti online, senza installare nulla, stiamo parlando di urlscan.io (link https://urlscan.io/)

Grazie a questo portale possiamo incollare il link ricevuto nella mail e capire se è sicuro e la sua provenienze

L’altro tool si chiama url2png.com reperibile al link (https://www.url2png.com/)

Mentre se all’interno della mail è presente un allegato e non sei sicuro al 100% della sua provenienza, puoi utilizzare il tool virustotal.com, reperibile al link (https://www.virustotal.com/gui/home/upload)

Dove potrai fare l’upload del file ricevuto e verificare se contiene un virus.

Adesso che conosci la tecnica e questi due tools quando riceverai una mail strana contenete dei link potrai in modo autonomo capire la loro provenienza.

Ti aspetto sul mio canale Youtube dove potrai trovare diversa documentazione

https://www.youtube.com/channel/UCiaypVH2IpMKxhuU5VI4nlQ

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

• Annunciato il rilascio della Playstation Portal
• Setapp lo store alternativo arriverà presto sugli iPhone
• Le migliori app per il fantacalcio
• Ecco Airis l’AI implementata in SigmaOS
• Cos’è il SubReddit r\Place