Cari lettori di Tecnogalaxy, oggi parleremo di link e di mail Phishing, andremo a vedere nel dettaglio cosa potrebbe nascondersi dietro un link utilizzato per scopi illegali.

Cos’è un link?

In gergo informatico un link è un collegamento tra il server centrale e le sue unità oppure tra server diversi.

Un link invece chiamato “ipertesto”, è una parola o una immagine appositamente designata dallo sviluppatore che quando viene selezionata, scatena un certo evento, come ad esempio il cambio dell’immagine o l’accesso del browser a una pagina internet.

In generale un link web è un collegamento fra le pagine di un sito e di altri siti , possiamo riconoscerlo perché ha un colore diverso rispetto ad un testo privo di collegamento ipertestuale.

Un link generalmente viene utilizzato per collegare come appena detto altre pagine, in molti casi è utilizzato anche per effettuare il download di un file o per attivare servizi specifici  (attivazione della webcame, attivazione del microfono etc…)

L’utilizzo dei link è molto comodo ad esempio per uno sviluppatore, se deve approfondire un argomento raggiungendo un’altra risorsa o siti diversi in modo veloce e diretto, non deve ogni volta scrivere tutto il sito  (www.miosito.com/nome della pagina) nella barra degli indirizzi, ma basta che lo incorpora nella scritta ad esempio LINK

In italiano un collegamento è chiamato link, (l’abbreviazione di hyperlink, oppure collegamento ipertestuale).

Adesso che sappiamo cos’è un link andiamo a vedere come viene utilizzato da un malintenzionato assieme alla tecnica di Phishing e di ingegneria sociale per effettuare attacchi mirati.

Dietro ad un link può esserci un reindirizzamento ad uno sito (magari creato per rubare le credenziali del malcapitati).

In generale i link molto lunghi vengono convertiti in link brevi, tutto questo prima di essere condivisi sui social network, sui forum, sulle app ad esempio di messaggistica. Esistono diversi servizi free reperibili sul web che consentono di convertire un link molto lungo in un link breve, di seguito quelli testati da me:

Urly

https://urly.it/

Bitly

https://bitly.com/

Tinyurl

https://tinyurl.com/app

Purtroppo attraverso un link trasformato in breve non è possibile visualizzare subito il sito originale perché non possiamo visualizzarne il nome del dominio, possibilità invece che abbiamo da un link originale.

Come facciamo ad essere sicuri che cliccando sul link ricevuto non verremo portati su un sito malevolo?

Come abbiamo visto in articoli precedenti cliccare su un link di dubbia provenienza non è molto sicuro perché potrebbe trattarsi di un link che ci dirotta su:

  1. sito fake apparentemente uguale a quello originale (sito utilizzato per rubare le credenziali di accesso),
  2. download malware siti che ci inducono a scaricare dei file che contengono dei malware specifici che potrebbero mettere a rischio la sicurezza del nostro pc/device.
  3. Attivazione servizi quando il link viene selezionato viene inviata la richiesta di attivazione della web came ad esempio o del microfono.

Come facciamo a controllare i link phishing?

Per non correre rischi utilizzando un apposito servizio online di nome CheckShortURL reperibile al seguente link http://checkshorturl.com, grazie a questo servizio possiamo risalire al link originale.

(CheckShortURL supporta quasi tutti i servizi di accorciamento URL:

t.co, goo.gl, bit.ly, amzn.to, tinyurl.com, ow.ly, youtu.be e molti altri!)

Una volta raggiunto il sito nella home page basterà inserire il link da testare e cliccare sul pulsante “Expand” , in questo modopotremo recuperare il link originale e anche visualizzare una pagina web.

Se anche dopo questa funzione non riusciamo a capire se si tratta di un sito sicuro oppure di un sito fake, il servizi CheckShortURL ci permette “scorrendo la pagina verso il basso”, di trovare una riga Check if safe on.

Adesso passiamo alla seconda parte del nostro articolo quello riferito alla ricezione di e-mail contenente phshing di attualità ormai da parecchio tempo. Settima scorsa sono stato contattato da alcun persone che mi chiedevano aiuto riguardo la ricezione di una e-mail che conteneva il seguente messaggio:

Link web nelle email di Phishing

Come potete immaginare erano abbastanza spaventati della mail appena ricevuta, stando a delle statistiche è in corso una nuova ondata di messaggi di posta elettronica (ovviamente fake), che cercano di estorcere denaro tramite la tecnica chiamata (sextortion), fingendo che la mail sia stata hackerata da un malintenzionato “il tuo account è stato violato”.

In queste e-mail di Phishing, il malintenzionato informa la vittima che il suo dispositivo ha subito una violazione e che ha potuto filmare tramite la webcam  mentre la vittima guardava video pornografici su Internet, tutto questo chiedono un riscatto ….. per non divulgare quello scoperto.

Ovviamente se il malcapitato ci casca è obbligato a pagare in Bitcoin entro di solito un arco temporale  di 48 ore dalla ricezione della mail, altrimenti il malintenzionato invierà il video a tutti i contatti che è riuscito a rubare dal dispositivo infettato

Inizialmente il contenuto del messaggio era scritto in inglese, poi tradotto in un italiano (poco italiano diciamo J ), attualmente invece il messaggio è scritto in un italiano quasi corretto al 100%,  segno che i malintenzionati  stanno prendendo di mira con più forza il nostro Paese.

Un’altra truffa che sta ritornano in uso e che ha rimesso in allarme aziende e utenti è la tecnica utilizzata “estorsiva”, praticamente il mittente del messaggio risulta essere il proprietario della casella di posta originale, oppure in alcuni casi invece il mittente è un nome noto al destinatario, infatti il fantomatico truffatore si presenta al malcapitato in questo modo:

Ho violato i tuoi dispositivi qualche mese fa, ho installato un malware e ho utilizzato il tuo browser come Remote Control in gergo tecnico RDP.

Con la pandemia in atto causa COVID le aziende hanno attivato diversi collegamenti per poter far lavorare i propri dipendenti da casa (in smart working), i malintenzionati fanno leva anche su termini tecnici, come browser, RDP, VPN, team viewer, controllo remoto etc… termini utilizzati spesso e che gli utenti sentono parlare spesso, (questa è la fase di ingegneria sociale da parte dei malintenzionati), fase molto importante per portare a termine con successo l’attacco.

In questo caso l’utente viene bombardato da nomi tecnici e gli viene detto dal malintenzionato che sul device è stato installato un keylogger , che gli ha permesso di registrare tutto quello che viene digitato sulla tastiera.

Arrivati a questo punto, il malintenzionato informa il malcapitato che il malwer installato ha raccolto tutte le informazioni (contatti, file etc… ) salvandoli su un server remoto.

Ovviamente il malcapitato a questo punto sentendosi intimorito dal fatto che il criminale informatico è in possesso della sua rubrica , l’accesso ai vari social, alle chat è ormai compromesso, il criminale informatico fa leva anche sul fatto che mentre controllava i device ha effettuato delle registrazioni video mentre il malcapitato guardava video per adulti. Facendo leva su questa parte delicata, l’intento criminale è che nessuno vuole che i propri segreti vengano resi noti…..se ci pensate, mentre il l’intenzionato vuole arrivare proprio lì.

A questo punto per fermare il tutto basta versare una modica somma di …..dipende dal malintenzionato , ovviamente in bitcoin. Al termine la mail di solito si conclude con : “Non essere arrabbiato con me, ognuno ha il proprio lavoro”.

Come potete capire uno che non sa cosa c’è dietro non la prende molto bene e si fa intimidire, pensa ai suoi dati , a eventuali attività su siti privati, e nella maggior parte dei casi paga. Alcuni cercano online informazioni per capire di cosa si tratta, altri fanno segnalazione alla Polizia Postale.

Un altro aspetto (che apparentemente sembra banale), ma rende il tutto pienamente credibile di questo attacco convincendo le vittime più deboli a procedere con il pagamento è che la vittima vedendo il messaggio anche nella posta inviata, si convincono che il loro device è stato effettivamente violato.

Entriamo nel dettaglio tecnico analizzando il messaggio, il messaggio ricevuto compare proprio nella posta Inviata, proprio come se l’avesse inviato il proprietario della casella mail. Un utente poco esperto tecnologicamente parlando,  vedere un messaggio scritto dal proprio account anche nella voce posta inviata è un segno di allarme (paura).

Se analizziamo anche le intestazioni RFC822, (Secondo tale specifica un messaggio di posta elettronica è una stringa di testo costituita da un header e da un body separati da una linea vuota)

L’header contiene le informazioni per il trasporto:

To:             (lista di destinatari)

From:        (mittente)

Cc:             (lista di destinatari per conoscenza)

Bcc:           (lista nascosta di destinatari per conoscenza)

Date:         (data di spedizione)

Reply-to:  (indirizzo diverso dal mittente)

Subject:    (titolo del messaggio)

Possiamo notare come il campo From: sia uguale al campo To:,  come avviene per le mail che abbiamo inviato a noi stessi.

I criminali informatici facendo in questo modo vogliono far credere al server di posta elettronica di aver utilizzato il client Outlook Express per inviare appunto il messaggio. Tecnicamente nella realtà è un comportamento corretto dei programmi di posta elettronica e delle webmail, infatti quando catalogano un messaggio che come mittente è il proprietario della casella di posta, lo collocano fra la posta uscita.

Cosa possiamo fare?

Il mio consiglio è quello di esportare il messaggio ricevuto selezionando la visualizzazione del codice sorgente (RFC822) e salvare il tutto nei seguenti formati: EML, TXT o MSG, in questo modo manterremo inalterati gli “header”.

Gli header permettono di capire da quale indirizzo IP è stata inviata la mail e con quale modalità, ovviamente se chi ha inviato la mail utilizzava un collegamento VPN, l’indirizzo IP non sarà quello originale.

A questo punto probabilmente vi state chiedendo ma dove e come hanno ad avere gli indirizzi e-mail?

Capita spesso che alcuni dei servizi dove ci siamo registrati sia finito sotto attacco informatico, il malintenzionato salverà i nomi utente, email, le password e farà il dump del database, così da rivendere probabilmente i dati sul dark web, e creerà i famosi “leak”.

Se vogliamo verificare se il nostro indirizzo di posta elettronica è presente in qualche leak ad oggi noto, possiamo usufruire dei servizi come ad esempio:

Have I Been Pwned, Gotcha.pw o DeHashed, dopo aver inserito la propria mailci dirà se e dove questa è presente.

Ovviamente in base al risultato dovremo cambiare la password il prima possibile onde evitare disservizi spiacevoli.

Come sempre fatene buon uso facendo dei test su vostri device / computer , farli su device/computer non vostri è illegale.

Al prossimo articolo 😊

N.B.: Non mi assumo nessuna responsabilità dell’uso che farete della guida, in quanto stilata per uso didattico e formativo.

Giorgio Perego

IT Manager

Leggi anche:

Ti è stato di aiuto questo articolo? Aiuta questo sito a mantenere le varie spese con una donazione a piacere cliccando su questo link. Grazie!

Seguici anche su Telegram cliccando su questo link per rimanere sempre aggiornato sugli ultimi articoli e le novità riguardanti il sito.

Se vuoi fare domande o parlare di tecnologia puoi entrare nel nostro gruppo Telegram cliccando su questo link.

© Tecnogalaxy.it - Vietato riprodurre il contenuto di questo articolo.