Attenzione a Outlook: alcuni link phishing restano invisibili nella Posta indesiderata

Molti utenti associano la cartella Posta indesiderata di Microsoft Outlook a un semplice contenitore per i messaggi spam. In realtà il client di posta applica, in quell’area, un comportamento aggiuntivo molto utile durante l’analisi di messaggi sospetti: rimuove gran parte della formattazione HTML e mostra in chiaro le destinazioni dei link presenti nell’email.

Il meccanismo ha un notevole valore pratico: un utente può spostare un messaggio dubbio nella cartella Posta indesiderata e verificare immediatamente se un pulsante apparentemente legittimo punta in realtà a un dominio malevolo. In molte campagne phishing il testo visualizzato non coincide infatti con la destinazione reale del link: Outlook, mostrando direttamente l’URL di destinazione, riduce il rischio di clic accidentali.

Va detto però che questa funzione non è infallibile. Un comportamento anomalo osservato di recente e segnalato da Jan Kopriva (ISC) dimostra che il sistema di anteprima dei link nella cartella Posta indesiderata può essere aggirato: il problema deriva da una differenza di interpretazione tra il motore che rende cliccabile un collegamento e quello che dovrebbe mostrarne l’anteprima testuale.

Quando Outlook mostra meno informazioni del previsto

Il caso analizzato riguarda un messaggio di phishing che conteneva un pulsante con il testo tipico delle campagne fraudolente: un invito, con toni urgenti, a consultare un sito web e a inserire dati personali. Una volta aperta l’email nella cartella Posta indesiderata, Outlook non mostrava alcun URL associato al pulsante: il testo appariva come un semplice elemento privo di destinazione.

Nella casella Posta in arrivo, invece, lo stesso messaggio conteneva un collegamento web che risultava perfettamente funzionante e cliccabile. In pratica Outlook considerava valido il link durante la normale visualizzazione del messaggio, ma non lo trattava come un URL durante l’anteprima semplificata nella cartella Posta indesiderata.

Chi lavora quotidianamente con l’analisi di email phishing potrebbe pensare subito a markup HTML inconsueto, tag annidati o tecniche di rendering peculiari del motore Word utilizzato da Outlook per interpretare le email HTML. Il client Microsoft, soprattutto nelle versioni desktop classiche di Outlook per Windows, ha una lunga storia di comportamenti imprevedibili nella gestione del codice HTML. In questo caso, però, il motivo si rivela decisamente più semplice.

Il ruolo dell’attributo HREF e degli URI incompleti

Kopriva spiega che una semplice analisi del codice sorgente dell’email phishing (Visualizza, Visualizza origine messaggio) ha messo in evidenza un’anomalia nell’attributo HREF del tag anchor HTML (quello che gestisce il link, insomma).

Il collegamento non utilizza un URL completo che inizia con https://, ma solo l’indicazione diretta del nome di dominio e del percorso da seguire.

Secondo quanto definito dalla specifica IETF RFC 3986, un indirizzo valido dovrebbe includere una struttura coerente composta almeno da schema, authority e path quando si parla di riferimenti assoluti. Outlook, nella visualizzazione della sola posta indesiderata, sembra utilizzare una routine di parsing più rigida che ignora gli attributi HREF incompleti o relativi, ad esempio quelli che – come nel caso di specie – non contengono il riferimento https:// o http:// iniziale. Il motore di rendering normale, invece, utilizzato per la Posta in arrivo e per le altre sezioni della mail, continua a trattarli come collegamenti cliccabili.

Due componenti interni dello stesso software non adottano insomma lo stesso criterio di validazione.

Dal punto di vista tecnico il comportamento è comprensibile. Un link sprovvisto di schema iniziale come https:// o http:// non rappresenta formalmente un URL completo. Però la conseguenza pratica è problematica: un utente potrebbe interpretare l’assenza di collegamenti visibili come un segnale di sicurezza, mentre il pulsante rimane comunque cliccabile quando l’email è aperta normalmente.

Perché i client di posta gestiscono HTML in modo imprevedibile

Le email HTML rappresentano uno degli elementi più frammentati in assoluto in termini di gestione: Outlook desktop utilizza ancora componenti derivati dal motore di rendering di Word, mentre Outlook Web App e il nuovo Outlook basato su WebView2 seguono logiche differenti. Lo stesso messaggio può apparire in modi completamente diversi a seconda della piattaforma.

Questa frammentazione produce effetti collaterali continui: alcuni client correggono automaticamente HTML malformato; altri tentano di “normalizzare” gli attributi; altri ancora bloccano selettivamente script, CSS o riferimenti esterni. Il risultato è che tecniche apparentemente banali possono modificare il comportamento di sicurezza del software.

Nel caso specifico, il phishing sfrutta un dettaglio marginale del parsing HTML, non una vulnerabilità remota nel senso classico del termine. Questo tipo di comportamento riduce tuttavia l’affidabilità di uno strumento che molti professionisti consigliano durante la formazione anti-phishing.

In pratica Outlook comunica implicitamente all’utente: “non ci sono link da controllare“. E invece il link esiste eccome.