Come i truffatori forgiano indirizzi e-mail e come si può dire

Considera questo un annuncio di servizio pubblico: i truffatori possono creare indirizzi e-mail. Il tuo programma di posta elettronica potrebbe indicare che un messaggio proviene da un determinato indirizzo di posta elettronica, ma potrebbe provenire interamente da un altro indirizzo.

I protocolli di posta elettronica non verificano che gli indirizzi siano legittimi: i truffatori, i phisher e altre persone maligne sfruttano questa debolezza nel sistema. Puoi esaminare le intestazioni di un'email sospetta per vedere se il suo indirizzo è stato forgiato.

Come funziona l'email

Il software di posta elettronica visualizza la provenienza di un'e-mail nel campo “Da”. Tuttavia, nessuna verifica viene effettivamente eseguita: il tuo software di posta elettronica non ha modo di sapere se un'e-mail proviene effettivamente da chi dice di provenire. Ogni e-mail include un'intestazione “Da”, che può essere falsificata, ad esempio qualsiasi truffatore potrebbe inviarti un'e-mail che sembra provenire da bill@microsoft.com. Il tuo client di posta elettronica ti direbbe che si tratta di un'e-mail di Bill Gates, ma non ha modo di verificarlo.

Le e-mail con indirizzi falsi potrebbero sembrare provenienti dalla tua banca o da un'altra attività legittima. Spesso ti chiederanno informazioni sensibili come i dati della tua carta di credito o il numero di previdenza sociale, magari dopo aver fatto clic su un link che porta a un sito di phishing progettato per apparire come un sito Web legittimo.

Pensa al campo “Da” di una email come l'equivalente digitale dell'indirizzo di ritorno stampato sulle buste che ricevi nella posta. In genere, le persone inseriscono un indirizzo di ritorno accurato per posta. Tuttavia, chiunque può scrivere qualsiasi cosa gli piaccia nel campo dell'indirizzo di ritorno: il servizio postale non verifica che una lettera provenga effettivamente dall'indirizzo di ritorno stampato su di essa.

Quando negli anni '80 fu progettato il protocollo SMTP (Simple Mail Transfer Protocol) per l'uso da parte del mondo accademico e delle agenzie governative, la verifica dei mittenti non era un problema.

Come esaminare le intestazioni di un'email

Puoi visualizzare ulteriori dettagli su un'email inviando le intestazioni dell'email. Queste informazioni si trovano in diverse aree in diversi client di posta elettronica: potrebbero essere note come “fonte” o “intestazioni” dell'email.

(Naturalmente, è generalmente una buona idea ignorare del tutto le e-mail sospette – se non sei affatto sicuro di una e-mail, è probabilmente una truffa.)

In Gmail, puoi esaminare queste informazioni facendo clic sulla freccia nell'angolo in alto a destra di un'e-mail e selezionando Spettacolo originale. Questo mostra i contenuti non elaborati dell'email.

Di seguito troverai i contenuti di un'e-mail di spam reale con un indirizzo email contraffatto. Spiegheremo come decodificare queste informazioni.

Consegnato a: (IL MIO INDIRIZZO EMAIL)
Ricevuto: entro 10.182.3.66 con ID SMTP a2csp104490oba;
Sab, 11 ago 2012 15:32:15 -0700 (PDT)
Ricevuto: entro il 10.14.212.72 con ID SMTP x48mr8232338eeo.40.1344724334578;
Sab, 11 ago 2012 15:32:14 -0700 (PDT)
Sentiero di ritorno:
Ricevuto: da 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. (72.255.12.30))
da mx.google.com con ID ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Sab, 11 ago 2012 15:32:14 -0700 (PDT)
Ricevuto-SPF: neutro (google.com: 72.255.12.30 non è consentito né negato dal miglior record di ipotesi per il dominio di e.vwidxus@yahoo.com) client-ip = 72.255.12.30;
Risultati dell'autenticazione: mx.google.com; spf = neutral (google.com: 72.255.12.30 non è consentito né negato dal miglior record di ipotesi per il dominio di e.vwidxus@yahoo.com) smtp.mail=e.vwidxus@yahoo.com
Ricevuto: da vwidxus.net id hnt67m0ce87b per <(MY EMAIL ADDRESS)>; Dom, 12 ago 2012 10:01:06 -0500 (busta da )
Ricevuto: da vwidxus.net da web.vwidxus.net con local (Mailing Server 4.69)
ID 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
per root@vwidxus.net; Domenica, 12 agosto 2012 10:01:06 –0500

…

Da: “Canadian Pharmacy” e.vwidxus@yahoo.com

Ci sono più intestazioni, ma queste sono importanti: appaiono nella parte superiore del testo non elaborato dell'email. Per comprendere queste intestazioni, inizia dal basso: queste intestazioni tracciano il percorso dell'email dal mittente verso di te. Ogni server che riceve l'e-mail aggiunge più intestazioni nella parte superiore: le intestazioni più vecchie dai server in cui è stata avviata l'e-mail si trovano in fondo.

L'intestazione “Da” in basso afferma che l'e-mail proviene da un indirizzo @ yahoo.com: si tratta solo di un'informazione inclusa nell'email; potrebbe essere qualsiasi cosa. Tuttavia, sopra di esso possiamo vedere che l'email è stata ricevuta da “vwidxus.net” (sotto) prima di essere ricevuta dai server di posta elettronica di Google (sopra). Questa è una bandiera rossa: ci aspettiamo di vedere l'intestazione “Ricevuto:” più basso nell'elenco come uno dei server di posta elettronica di Yahoo!

Gli indirizzi IP coinvolti potrebbero anche darti un'idea: se ricevi un'email sospetta da una banca americana ma l'indirizzo IP che ha ricevuto si risolve in Nigeria o in Russia, probabilmente è un indirizzo email contraffatto.

In questo caso, gli spammer hanno accesso all'indirizzo “e.vwidxus@yahoo.com”, dove vogliono ricevere risposte al loro spam, ma stanno comunque creando il campo “Da:”. Perché? Probabilmente perché non possono inviare enormi quantità di spam tramite i server di Yahoo! – verrebbero notati e chiusi. Invece, stanno inviando spam dai propri server e falsificando il suo indirizzo.