La diffusione dei Ransomware ha portato molta attenzione al tema della sicurezza informatica ed in particolare verso tutti i metodi di protezione dai ransomware, trascurando l’esistenza di altre pericolose minacce.

Fra queste c’è senza dubbio in Phishing, che continua attraverso campagne mirate a sottrarre dati personali da rivendersi nel mercato nero.

Stamattina mi è capitato di osservare un messaggio di phishing correttamente classificato, ma che mi ha fatto riflettere su alcuni aspetti caratterizzanti di questo messaggio.

Vediamo come era composto:

Delivered-To: <rimosso>
Received: by 10.202.62.131 with SMTP id l125csp2191720oia;
        Tue, 31 May 2016 14:13:07 -0700 (PDT)
X-Received: by 10.194.173.132 with SMTP id bk4mr110281wjc.92.1464729186993;
        Tue, 31 May 2016 14:13:06 -0700 (PDT)
Return-Path: <root@mail.yervaguena.com>
Received: from mail.yervaguena.com (mail.yervaguena.com. [5.56.57.43])
        by mx.google.com with ESMTPS id o84si39196803wmb.94.2016.05.31.14.13.06
        for <angelopenduzzu@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Tue, 31 May 2016 14:13:06 -0700 (PDT)
Received-SPF: pass (google.com: best guess record for domain of root@mail.yervaguena.com designates 5.56.57.43 as permitted sender) client-ip=5.56.57.43;
Authentication-Results: mx.google.com;
       spf=pass (google.com: best guess record for domain of root@mail.yervaguena.com designates 5.56.57.43 as permitted sender) smtp.mailfrom=root@mail.yervaguena.com
Received: by mail.yervaguena.com (Postfix, from userid 0)
	id 3DFF513A22A; Tue, 31 May 2016 22:44:06 +0200 (CEST)
To: <rimosso>
Subject: Accesso bloccato al tuo account CheBanca associato con l'indirizzo e-mail angelopenduzzu@gmail.com .
X-PHP-Originating-Script: 0:ch3.php
From: CheBanca! <noreply.5206@ingdirectitalia.it>
Reply-To: noreply.5206@ingdirectitalia.it
Content-Type: text/html
Message-Id: <20160531204406.3DFF513A22A@mail.yervaguena.com>
Date: Tue, 31 May 2016 22:44:06 +0200 (CEST)


<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html>
<a href="http://www.chebanca.it.voKUCJ.thearborist.co.nz/.chebanca.it/?sicurezza=voKUCJ">
<img src="http://www.chebanca.it.Rzfuwt.thearborist.co.nz/images/chebancalogo205.png" height="261" width="632" border="0"></a> <text-align:center;margin-top: -19px;\"><b> </b></p></div
</html>'

Gli aspetti interessanti sono due:

• L’indirizzo del mittente usa il dominio ingdirectitalia.it di proprietà di una nota banca online che opera a livello internazionale, purtroppo da una rapida analisi scopriamo che non hanno registrato un record SPF e quindi il messaggio non è stato bloccato.

  dig ingdirectitalia.it TXT
  ; <<>> DiG 9.10.3-P4-Ubuntu <<>> ingdirectitalia.it TXT
  ;; global options: +cmd
  ;; Got answer:
  ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 41050
  ;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
  ;; QUESTION SECTION:
  ;ingdirectitalia.it.        IN    TX
  ;; AUTHORITY SECTION:
  ingdirectitalia.it.    3600    IN    SOA    dns1.fastweb.it. dnsmaster.fastweb.it. 2015121001 10800 900 604800 86400
  ;; Query time: 1133 msec
  ;; SERVER: 127.0.1.1#53(127.0.1.1)
  ;; WHEN: Wed Jun 01 07:10:48 CEST 2016
  ;; MSG SIZE  rcvd: 95

• L’indirizzo a cui punta il collegamento inizia con http://www.chebanca.it che ad una lettura superficiale potrebbe anche far credere che si tratti dell’indirizzo giusto, mentre invece il vero dominio è: thearborist.co.nz

Infine un’ultima considerazione, nelle intestazioni possiamo trovare che il messaggio è stato spedito da uno script php:

X-PHP-Originating-Script: 0:ch3.php

Il furto di identità è ancora una pratica molto diffusa e le campagne di Phishing quotidiane. Un incidente di sicurezza causato dalla perdita di credenziali di accesso può produrre danni economici più ingenti rispetto al BitCoin solitamente necessario per acquistare la chiave di decrittazione per un ransomware (acquisto che continuiamo a sconsigliare perchè significherebbe incrementare le disponibilità economiche e la motivazione dei gruppi che sviluppano e diffondono ransomware).

L’unico modo per risparmiare è dotarsi di un antispam efficace in grado di bloccare i messaggi più pericolosi.

LibraESVA è la soluzione Italiana ai problemi di spam e phishing, in grado di ridurre drasticamente del 99,99% la presenza di messaggi di spam nelle nostre mailbox ed ridurre quasi a zero la presenza di malware negli allegati potendo effettuare la scansione con più motori antispam.

Argonavis é partner LibraESVA e può fornirti tutte le informazioni commerciali e tecniche per implementare LibraESVA e migliorare la sicurezza della tua infrastruttura ed in particolare della posta elettronica.

Richiedi Informazioni