Come riconoscere email phishing

L’ampia diffusione nel nostro Paese di ransomware come Cryptolocker, TorrentLocker, CryptoWall e varianti, è sintomo evidente del fatto che molti utenti, ancor’oggi, hanno difficoltà nel riconoscere le email phishing. Nella maggior parte dei casi, dovrebbe essere piuttosto semplice riconoscere le truffe via email e capire quando un messaggio, recapitato nella propria casella di posta è stato realizzato con lo scopo primario di provocare l’installazione di malware o di carpire informazioni personali e dati sensibili.

L’antimalware resta ovviamente uno dei più validi alleati (soprattutto se integra strumenti per la scansione della posta elettronica in arrivo e protezione antiphishing) ma, come già ricordato in altre occasioni, è bene non porvi mai troppo affidamento.
Non è detto, infatti, che l’antimalware sia in grado di riconoscere automaticamente tutte le minacce proteggendo l’utente in maniera proattiva.
Prodotti software per la sicurezza del sistema o della rete locale che si basano prevalentemente sull’utilizzo dei database delle firme virali possono fallire non rilevando come una minaccia malware di più recente concezione.
È capitato più volte, anche nel caso dei ransomware – purtroppo popolarissimi in Italia – che nessun motore di scansione antivirus riconoscesse la minaccia a distanza di parecchie ore dalla comparsa in Rete dei primi campioni malware (vedere, ad esempio, l’ultima parte dell’articolo Esiste una soluzione per Cryptolocker?).
Appare quindi evidente come la sola protezione dell’antimalware non possa essere considerata sufficiente per scongiurare qualsiasi rischio.

Come procedere, allora, per riconoscere le email phishing e le truffe via email?

Ancora oggi, come accennato in precedenza, chi sviluppa malware o comunque ha interesse a rastrellare dati personali degli utenti, utilizza pesanti campagne phishing.
Nelle caselle di posta degli utenti di tutto il mondo (o di una nazione specifica) vengono inviate email truffaldine che mirano ad indurre i destinatari dei messaggi phishing a dar credito al contenuto delle missive.
Spesso, quindi, le email vengono confezionato in modo tale da apparire il più possibile veritiere quando, in realtà, non lo sono affatto.
Si fa ad esempio riferimento a presunti ordini di prodotti e servizi, consegne da parte dei principali corrieri espresso italiani, comunicazioni da parte di istituti bancari o gestori di carte di credito, pagamenti scaduti, tasse, fatture da parte dei principali operatori telefonici, fornitori di servizi di hosting e così via.

Di solito gli autori delle truffe via mail impostano come mittente l’indirizzo email (reale!) del supporto clienti di un’azienda, di una banca o, addirittura, di un conoscente del destinatario dell’email.

L’obiettivo è, ovviamente, quello di acquisire la fiducia del destinatario dell’email ed indurlo ad eseguire l’allegato malevolo o compiere le operazioni suggerite nel messaggio truffaldino.

Un’email phishing non si riconosce dall’indirizzo email del mittente

Per riconoscere email phishing non bisogna assolutamente fermarsi ad osservare l’indirizzo email del mittente.
Il mittente di un’email è falsificabile da chiunque, senza alcun problema. Basta specificare un indirizzo email altrui nel client di posta, come mittente, per rendersene conto.
Questa pratica, chiamata email spoofing, è quotidianamente messa in atto da tutti gli spammers e da chi pone in essere campagne phishing.

È bene quindi agire sempre con la massima cautela considerando che il vero mittente di un messaggio può non essere quello indicato. Ciò a meno che all’email non siano associati record SPF (Sender Policy Framework; un metodo per limitare gli abusi sul nome del mittente nei messaggi di posta elettronica), DKIM (DomainKeys Identified Mail; meccanismo usato per associare un nome a dominio ad un messaggio di posta usando una firma digitale che può essere validata dai destinatari) o comunque l’email non presenti in allegato una firma digitale valida.
In questi tre casi è possibile considerare l’email come valida e perfettamente legittima.

Come spiegato nell’articolo Scansione antivirus online: come prevenire infezioni malware, in caso di dubbi sulla provenienza di un’email, una buona mossa è certamente quella di analizzare le intestazioni (gli headers) del messaggio di posta elettronica.

Le intestazioni del messaggio, infatti, offrono importantissime indicazioni circa i sistemi in cui l’email è stata generata, compresa la loro posizione geografica, nonché sui sistemi utilizzati per la spedizione (SMTP) ed il recapito fino alla destinazione.

L’email truffaldina può riportare come mittenti anche gli indirizzi email di persone conosciute. Ciò può avvenire allorquando i truffatori abbiano precedentemente acquisito, in diversi modi (informazioni razziate sui sistemi di altri utenti o direttamente presso i fornitori dei servizi di posta), rubriche dei contatti (vedere ad esempio l’articolo Di nuovo e-mail spam da Libero: come può accedere?).

Nell’articolo Scoprire dove si trova una persona a partire dall’indirizzo IP, abbiamo spiegato nel dettaglio come capire se un’email possa essere considerata o meno legittima dall’analisi delle intestazioni del messaggio.

Esaminare le intestazioni (headers) dell’email

Generalmente, usando la combinazione di tasti CTRL+U, nella maggior parte de client di posta è possibile visionare il sorgente dell’email e, di conseguenza, esaminarne le intestazioni (headers).

Anche nel caso in cui si utilizzasse una webmail (si pensi a Google Gmail da browser web o ad Outlook.com), all’utente viene sempre e comunque accordata la possibilità di accedere al sorgente dell’email.

Nel caso di Gmail, ad esempio, basta fare clic sul menu rappresentato in figura e scegliere la voce Mostra originale.

Di solito, l’ultima riga Received: from suggerisce il sistema da cui l’email è partita nonché l’IP con cui lo stesso sistema si presentava in Rete al momento dell’invio del messaggio di posta elettronica.

Se tale sistema non è riconosciuto (ad esempio si tratta di indirizzi stranieri) è altamente probabile che ci si trovi dinanzi ad un’email truffaldina.

Facciamo un esempio concreto. Si immagini un’email che fa riferimento ad una presunta bolletta Telecom Italia non pagata. Telecom può inviare comunicazioni utilizzando un server connesso alla sua infrastruttura aziendale. Nell’ultima riga Received: from, si potrà quindi leggere smtpout2-ebill.telecomitalia.it o qualcosa di simile.
Come si vede, si tratta di un server SMTP associato al dominio principale di Telecom.
Se la comunicazione dovesse invece partire da un server del tutto sconosciuto, magari straniero, è pacifico concludere che si tratti di un’email phishing.

Incollando le intestazioni dell’email da controllare nella casella To trace an email using a header, copy and paste the email header below (vedere questa pagina), si otterrà immediatamente un’indicazione circa la provenienza dell’email.

Una verifica sull’indirizzo letto nell’ultima riga Received: from delle intestazioni dell’email, può essere condotta anche utilizzando questo strumento.
In questo caso, è sufficiente copiare l’indirizzo IP estratto dalla riga Received: from nel campo Enter a domain or IP address e premere il pulsante verde Search.

Massima attenzione agli eventuali allegati

In caso di dubbi è in ogni caso bene evitare di aprire o eseguire l’eventuale allegato ricevuto insieme con il messaggio di posta elettronica.

Il primo consiglio è, innanzi tutto, quello di non lasciarsi trarre in inganno dal trucchetto della doppia estensione.
Gli sviluppatori di malware fanno leva su una configurazione di default che è attivata in tutte le versioni di Windows (Windows 8.1 e Windows 10 compresi).
Per impostazione predefinita, infatti, il sistema operativo non visualizza le estensioni conosciute; non mostra, quindi, le estensioni per i file DOC, PDF, ZIP, XLS, EXE e così via.
Risultato? Un file chiamato fattura.pdf potrebbe essere invece memorizzato a livello di file system come fattura.pdf.exe (si noti la doppia estensione). Cliccando due volte su quello che all’apparenza può sembrare un documento in formato PDF, si eseguirà invece un file malevolo /(estensione .EXE).

Nell’articolo Visualizzare le estensioni dei file in Windows e smascherare chi usa pericolosi trucchi abbiamo spiegato come attivare la visualizzazione delle estensioni per tutte le tipologie di file e quali altri trucchi sono frequentemente messi in campo dagli autori di malware.

Per le minacce già note, comunque, il servizio VirusTotal consente di ottenere una chiara indicazione circa la potenziale pericolosità dell’allegato oggetto di analisi.
Le istruzioni per procedere una scansione preventiva dell’allegato sono riportate nell’articolo Scansione antivirus online: come prevenire infezioni malware.

Qualora si nutrissero comunque dei dubbi, si può utilizzare DeepViz, un servizio che esegue il file (allegato) potenzialmente dannoso in una macchina virtuale remota ed offre alcune indicazioni circa il suo comportamento: Come eseguire scansione antivirus con Deepviz.

Link fasulli nell’email phishing

Massima attenzione dev’essere riposta non soltanto sugli allegati ma anche sugli eventuali link presenti nell’email ricevuta.
Link che all’apparenza fanno riferimento a siti web legittimi, possono puntare invece a server web gestiti da criminali informatici.

Lasciando per qualche istante il puntatore del mouse su tali link, da client di posta o dalla webmail, si dovrebbe leggere (nella parte inferiore della finestra) il reale indirizzo di destinazione.
In alternativa, come già visto nel caso delle intestazioni, è possibile accedere al sorgente del messaggio e controllare a quale indirizzo remoto punta ciascun link (tag HTML a href).

Se si decidesse di seguire un link riportato nell’email ritenuta legittima, si osservi bene quanto visualizzato nella barra degli indirizzi del browser.
Tutte le società più importanti, infatti, utilizzano connessioni HTTPS (consentono di proteggere i dati trasferiti da client a server e viceversa) e certificati digitali EV SSL.
Nell’articolo Certificato di protezione del sito web: cosa fare quando c’è un problema abbiamo evidenziato come i certificati digitali permettano di attestare l’identità di un sito web. Certificati digitali fasulli o non appartenenti alla società che dovrebbe essere proprietaria del sito web oggetto di visita, sono spia evidente di un tentativo di phishing ai danni degli utenti meno attenti.

Il livello di sicurezza maggiore in merito alla certificazione dell’identità di un sito web, è garantito dai certificati EV-SSL (Extended Validation SSL).
Nel caso dei certificati EV-SSL, l’autorità responsabile dell’emissione del certificato digitale verifica attentamente l’identità del richiedente garantendola con la massima certezza.
Tutti i principali browser visualizzano il colore verde nella barra degli indirizzi (insieme con l’icona del lucchetto) quando si ha a che fare con un certificato EV-SSL perfettamente valido.
Un esempio concreto? Il sito di PayPal utilizza un certificato digitale del tipo EV-SSL. Accorgersene è semplice: oltre al colore verde nella barra degli indirizzi, esaminando la tipologia del certificato da browser si noterà chiaramente l’indicazione Extended Validation SSL.

Nell’immagine, il menu che appare nel browser Google Chrome quando si fa clic sull’icona del lucchetto. La frase “l’identità di PayPal (…) è stata verificata da VeriSign (…) Extended Validation SSL CA” offre già la certezza che si stia visitando il vero sito web di PayPal.

Certificati digitali non attendibili, revocati, scaduti o sconosciuti sono sintomo di qualcosa che non va.
Fino a qualche tempo fa uno dei suggerimenti più “gettonati”, rivolti soprattutto ai meno esperti, era quello di astenersi dal fornire dati personali sui siti web che non provocano la comparsa, nel browser, dell’icona a forma di lucchetto e che quindi non utilizzano HTTPS e certificato digitale.
Questo consiglio, com’è facile intuire, non è ormai più sufficiente.
I cosiddetti certificati DV-SSL (Domain Validated SSL) vengono rilasciati previa esclusiva verifica della proprietà del dominio sul quale il certificato verrà installato. Alcune società mettono a disposizione certificati DV-SSL a titolo completamente gratuito.
Chi effettua campagne phishing ed allestisce siti web truffaldini può così richiedere facilmente ed utilizzare un certificato valido a tutti gli effetti.
Allestendo un sito chiamato, ad esempio, clienti-nomebanca.com, e caricando – sul server web – il certificato digitale richiesto per il dominio clienti-nomebanca.com, l’utente vedrà comparire il lucchetto e si sentirà rassicurato. In realtà i suoi dati andrebbero direttamente nelle mani dei criminali informatici.

La comparsa del lucchetto di colore verde è invece ad oggi un’ottima tutela, soprattutto quando l’utente ha cura di verificare il soggetto a cui è stato fornito il certificato digitale.