Spam da account Libero, che cosa sta succedendo?

Decine e decine di utenti di Libero, il portale di Italia On Line (IOL), hanno da giorni cominciato a segnalare un comportamento quanto meno anomalo relativamente alle loro caselle di posta elettronica.

Decine e decine di utenti di Libero, il portale di Italia On Line (IOL), hanno da giorni cominciato a segnalare un comportamento quanto meno anomalo relativamente alle loro caselle di posta elettronica.
Negli ultimi tempi, infatti, i possessori di account Libero sembrano diventati autori dell’invio di e-mail indesiderate, automaticamente recapitate nelle caselle di posta di colleghi ed amici.
I link contenuti nelle e-mail di spam sono diversi anche se generalmente viene poi fatto riferimento ad un unico sito che promette falsi guadagni (vedere quest’immagine).

Le e-mail non partono dai server di Libero

Esaminando le intestazioni dell’e-mail (header) proveniente dal contatto Libero è immediato stabilire che il messaggio non è stato inviato utilizzando i server del provider Internet italiano. Generalmente, l’e-mail sembra essere partita da server di posta stranieri, da diverse parti del mondo.
Il campo “mittente”, quindi, risulta palesemente falsificato (email spoofing).

Fin qui non vi sarebbe nulla di strano: diffondendo il proprio indirizzo e-mail in Rete è altamente probabile che spammers ed autori di malware lo utilizzino anche come mittente di e-mail inviate dai propri server. Lo spoofing consiste appunto nel falsificare l’indirizzo di provenienza dell’e-mail visualizzando un mittente falso.
Analizzando le intestazioni del messaggio, comunque, è abbastanza semplice capire quando un’e-mail è da considerarsi fasulla (vedere, ad esempio, l’articolo Scoprire dove si trova una persona a partire dall’indirizzo IP al paragrafo Stabilire la posizione di utente mediante l’analisi delle intestazioni di un’e-mail).

Le e-mail vengono inviate ai contatti presenti in rubrica

Ciò che desta maggiori sospetti è invece un altro aspetto. Le e-mail fasulle degli utenti di Libero paiono inviate ai contatti della rubrica di questi ultimi. Di solito gli spammer “sparano nel mucchio” ossia utilizzano migliaia di indirizzi e-mail per inviare messaggi di posta ad altre migliaia di utenti, scelti in modo pressoché casuale. In questo caso, invece, da una serie di analisi e dalle conferme arrivate da numerosi utenti, sembra che lo spam bersagli i contatti presenti nella rubrica di ciascun utente in possesso di un account Libero.
Dal momento che l’invio dello spam non sembra collegato ad un’infezione lato client dei sistemi degli abbonati Libero, l’ipotesi più accreditata è che le rubriche (memorizzate nella webmail di Libero) possano essere state in qualche modo rastrellate dall’esterno ed illecitamente sottratte.

L’itaiana TG Soft si spinge addirittura più avanti ed ipotizza una “svista” lato server citando la presunta non tempestiva risoluzione del bug HeartBleed (Heartbleed bug, quali i rischi per gli utenti ed i gestori di siti web HTTPS?).

La risposta di Libero.it

I responsabili di Libero hanno per il momento preferito non scendere nei dettagli tecnici precisando però di non aver al momento rilevato alcun problema lato server. Un comunicato, pubblicato sul blog ufficiale del portale di IOL, illustra la posizione di Libero:

In merito ad alcune segnalazioni che ci sono pervenute relative ad attività di spam, desideriamo comunicarvi che i problemi che stanno interessando alcuni account di posta elettronica Libero.it hanno fatto partire le procedure di controllo, come previsto dalle nostre policy in tema di sicurezza.
Al momento non è stata riscontrata alcuna violazione dei nostri server, la cui sicurezza è costantemente monitorata. Con l’occasione si ricorda che nei casi di spoofing (invio di spam apparentemente proveniente dal proprio account di posta) il modo più efficace di tutelarsi è seguire le raccomandazioni dei provider in tema di gestione e utilizzo delle password. Invitiamo tutti a consultare il seguente link, http://aiuto.libero.it/sicurezza/tutela-della-casella-di-posta/faq/7203.phtml, in evidenza nella sezione di aiuto preposta
“.

È assai probabile che nei prossimi giorni seguano nuovi aggiornamenti.

Ti consigliamo anche

Link copiato negli appunti