I pericoli della posta elettronica

Attraverso messaggi di posta elettronica, aldilà del pur seccante fenomeno dell'invio di messaggi non voluti, possono essere effettuati vari tipi diversi di attacco alla sicurezza dei computer: diffusione di virus, tentativi di carpire informazioni riservate, ecc. In molti casi la migliore difesa contro questo tipo di attacchi è il semplice buonsenso, ovvero una opportuna diffidenza nei confronti del contenuto dei messaggi che si ricevono. Le note che seguono si propongono di fornire alcune informazioni e spiegazioni che possono essere utili ad individuare questi attacchi e a non rimanerne coinvolti.

I messaggi contraffatti

L'aspetto di un messaggio contraffatto è quello di un normale messaggio di posta elettronica: l'indirizzo di provenienza può essere "ragionevole" e perfino un indirizzo ben conosciuto al destinatario. Il contenuto può essere ben scritto ed apparire assolutamente credibile; in alcuni casi può contenere frasi estratte da messaggi effettivamente ricevuti o inviati dal presunto mittente e ciò aumenta la credibilità del messaggio.

Ecco alcuni esempi.

Come riconoscerli

• Verificare l'header del messaggio
  Uno dei modi più semplici per riconoscere messaggi di questo tipo consiste nel verificare l'header completo del messaggio. Tale header viene normalmente nascosto dai programmi per la visualizzazione della posta elettronica, ma può essere visualizzato scegliendo l'opzione opportuna del programma¹. L'header contiene informazioni relative alla fonte di provenienza reale del messaggio. Ecco un esempio:

  Normalmente l'header viene mostrato cosí:

  Date: Mon, 15 Jul 2002 11:45:50 +0200 (CEST)     From: Luca Fini <lfini@arcetri.astro.it> To: <support@arcetri.astro.it> Subject: Informazioni in attachment

  Sembra a prima vista un messaggio inviato da lfini@arcetri.astro.it all'indirizzo support@arcetri.astro.it. Vediamo però l'header completo:

  Received: from butterfly.sissa.it (butterfly.sissa.it [147.122.1.137]) by hercules.arcetri.astro.it (8.12.2/8.12.2) with ESMTP id g6F9jmMs007464 for <support@arcetri.astro.it>; Mon, 15 Jul 2002 11:45:50 +0200 (CEST) Received: from AFRICA (pc-44.adm.sissa.it [147.122.56.144]) by butterfly.sissa.it (8.11.3/8.11.3/SISSA 1.3) with SMTP id g6F9jfh02946 for <support@arcetri.astro.it>; Mon, 15 Jul 2002 11:45:41 +0200 Date: Mon, 15 Jul 2002 11:45:50 +0200 (CEST) From: Luca Fini <lfini@arcetri.astro.it> To: <support@arcetri.astro.it> Subject: Informazioni in attachment Message-ID: <200207150945.g6F9jfh02946@butterfly.sissa.it> MIME-Version: 1.0 Content-Type: MULTIPART/MIXED; BOUNDARY="8323328-609979923-1059984796=:4447"

  La prima linea "Received" mostra chiaramente² che c'è qualcosa che non va, infatti il messaggio dichiara come indirizzo di provenienza lfini@arcetri.astro.it, ma il messaggio viene effettivamente ricevuto dall'indirizzo: 147.122.1.137 che corrisponde a butterfly.sissa.it (Nota: in molti casi compare solo il numero IP perchè questo non corrisponde ad alcun nome conosciuto).

  L'anomalia consiste nel fatto che il messaggio non proviene da uno degli indirizzi della rete di Arcetri.

  Ogni volta che la provenienza dichiarata nel campo "From:" è diversa da quella che compare nel primo dei campi "Received:", il messaggio è da considerare fortemente sospetto.

• Verificare il contenuto
  I messaggi contraffatti sono solitamente riconoscibili perché "fuori contesto": il testo è più o meno incongruo, dichiarano di essere risposte a richieste mai fatte, contengono frasi molto genmeriche o anche linguaggio grammaticalmente scorretto, ecc. È bene tenere presente però che i "costruttori" di virus fanno il massimo sforzo per renderli credibili.

• Verificare gli allegati
  Gli allegati (o attachment) sono il meccanismo usato per trasmettere virus. I messaggi con allegati devono quindi essere considerati sempre con particolare sospetto. È sempre opportuno evitare di aprire (cliccandovi sopra o in altro modo) allegati della cui provenienza non si è assolutamente sicuri. Il tema della trasmissione di virus allegati a messaggi di posta elettronica viene trattato più estesamente in un apposito documento.

• In caso di dubbi, chiedere al mittente
  Se avete dubbi sulla reale provenienza del messaggio, potete chiedere conferma direttamente al mittente, per posta elettronica o con altro mezzo.

I pericoli connessi con i messaggi di posta elettronica

• Diffusione di virus
  Si tratta di una delle pratiche più comuni: i virus vengono trasmessi mediante allegati a messaggi di posta elettronica.

• Accesso ad informazioni riservate
  In questo caso non si tratta di meccanismi tecnici, me di vere e proprie truffe: il destinatario viene indotto a rivelare dati sensibili mediante messaggi contraffatti.

• Le "bufale"
  Consistono nel diffondere notizie false a proposito di pericoli inesistenti; nei casi meno gravi possono indurre i destinatari a diffondere ulteriormente le notizie false, in altri casi possono convincerlo ad effettuare personalmente operazioni potenzialmetne dannose per il proprio computer.

Approfondimenti

• Il protocollo SMTP
• Links utili

Note

1. Ogni programma di posta elettronica ha il suo modo di visualizzare l'header, ecco le istruzioni per alcuni dei più diffusi:

   Pine	Tasto: H
   Netscape Mozilla	Menu: View --> Header --> All
   Outlook Express	Click con tasto destro su intestazione messaggio:       --> Proprietà --> Dettagli

2. Le informazioni che ci interessano vengono normalmente introdotte nell'header dai vari server che il messaggio attraversa. In particolare la prima linea (l'ultima aggiunta) viene inserita dal server locale. Per questo motivo è l'unica affidabile: tutte le altre arrivano insieme al messaggio e possono quindi essere contraffatte.