Menu

Osservatorio Astrofisico di Arcetri

  • Italiano (IT)
  • English (UK)

I pericoli della posta elettronica

Luca Fini (Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.)

5 settembre 2005


Attraverso messaggi di posta elettronica, a parte il pur seccante fenomeno dell'invio di messaggi non voluti, possono essere effettuati vari tipi di attacco alla sicurezza dei computer: diffusione di virus, tentativi di carpire informazioni riservate, ecc. In molti casi la migliore difesa contro questo tipo di attacchi è il semplice buonsenso, ovvero una opportuna diffidenza nei confronti del contenuto dei messaggi che si ricevono. Le note che seguono si propongono di fornire alcune informazioni e spiegazioni che possono essere utili ad individuare questi attacchi e a non rimanerne coinvolti.

I messaggi contraffatti

Qualunque sia lo scopo dei messaggi "pericolosi", tutti indistintamente sono messaggi contraffatti, ovvero cercano di apparire come "veri" messaggi inviati legittimamente anche se non lo sono e la prima contromisura consiste nell'identificarli con sicurezza.

L'aspetto di un messaggio contraffatto è quello di un normale messaggio di posta elettronica: l'indirizzo di provenienza può essere "ragionevole" e perfino un indirizzo ben conosciuto al destinatario. Il contenuto può essere ben scritto ed apparire assolutamente credibile; in alcuni casi può contenere frasi estratte da messaggi effettivamente ricevuti o inviati dal presunto mittente e ciò aumenta la credibilità del messaggio.

Ecco alcuni esempi.

Come riconoscere un messaggio contraffatto

  • Verificare l'header del messaggio
    Uno dei modi più semplici per riconoscere messaggi di questo tipo consiste nel verificare l'header completo del messaggio. Tale header viene normalmente nascosto dai programmi per la visualizzazione della posta elettronica, ma può essere visualizzato scegliendo l'opzione opportuna del programma1. L'header contiene informazioni relative alla fonte di provenienza reale del messaggio. Ecco un esempio:

    Normalmente l'header viene mostrato cosí:

    Date: Mon, 15 Jul 2002 11:45:50 +0200 (CEST)
    From: Luca Fini <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>
    To: <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>
    Subject: Informazioni in attachment


    Sembra a prima vista un messaggio inviato da Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. all'indirizzo Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.. Vediamo però l'header completo:

    Received: from butterfly.sissa.it (butterfly.sissa.it [147.122.1.137])
            by hercules.arcetri.astro.it (8.12.2/8.12.2) with ESMTP id g6F9jmMs007464
            for <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.> Mon, 15 Jul 2002 11:45:50 +0200 (CEST)
    Received: from AFRICA (pc-44.adm.sissa.it [147.122.56.144])
            by butterfly.sissa.it (8.11.3/8.11.3/SISSA 1.3) with SMTP id g6F9jfh02946
            for <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.> Mon, 15 Jul 2002 11:45:41 +0200
    Date: Mon, 15 Jul 2002 11:45:50 +0200 (CEST)
    From: Luca Fini <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>
    To: <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>
    Subject: Informazioni in attachment
    Message-ID: <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>
    MIME-Version: 1.0
    Content-Type: MULTIPART/MIXED; BOUNDARY="8323328-609979923-1059984796=:4447"


    La prima linea "Received" mostra chiaramente2 che c'è qualcosa che non va, infatti il messaggio dichiara come indirizzo di provenienza Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., ma il messaggio viene effettivamente ricevuto dall'indirizzo: 147.122.1.137 che corrisponde a butterfly.sissa.it (Nota: in molti casi compare solo il numero IP perchè questo non corrisponde ad alcun nome conosciuto).

    L'anomalia consiste nel fatto che il messaggio non proviene da uno degli indirizzi della rete di Arcetri.

    Ogni volta che la provenienza dichiarata nel campo "From:" è diversa da quella che compare nel primo dei campi "Received:", il messaggio è da considerare fortemente sospetto. 

  • Verificare il contenuto
    I messaggi contraffatti sono solitamente riconoscibili perché "fuori contesto": il testo è più o meno incongruo, dichiarano di essere risposte a richieste mai fatte, contengono frasi molto genmeriche o anche linguaggio grammaticalmente scorretto, ecc. È bene tenere presente però che i "costruttori" di virus fanno il massimo sforzo per renderli credibili.
     
  • Verificare gli allegati
    Gli allegati (o attachment) sono il meccanismo usato per trasmettere virus. I messaggi con allegati devono quindi essere considerati sempre con particolare sospetto. È sempre opportuno evitare di aprire (cliccandovi sopra o in altro modo) allegati della cui provenienza non si è assolutamente sicuri. Il tema della trasmissione di virus allegati a messaggi di posta elettronica viene trattato più estesamente in un apposito documento.
     
  • In caso di dubbi, chiedere al mittente
    Se avete dubbi sulla reale provenienza del messaggio, potete chiedere conferma direttamente al mittente, per posta elettronica o con altro mezzo.

I pericoli connessi con i messaggi di posta elettronica

Vediamo adesso più in dettaglio quali sono i più comuni pericoli connessi con l'utilizzazione della posta elettronica.

  • Diffusione di virus
    Si tratta di una delle pratiche più comuni: i virus vengono trasmessi mediante allegati a messaggi di posta elettronica.
     
  • Accesso ad informazioni riservate
    In questo caso non si tratta di meccanismi tecnici, me di vere e proprie truffe: il destinatario viene indotto a rivelare dati sensibili mediante messaggi contraffatti.
     
  • Le "bufale"
    Consistono nel diffondere notizie false a proposito di pericoli inesistenti; nei casi meno gravi possono indurre i destinatari a diffondere ulteriormente le notizie false, in altri casi possono convincerlo ad effettuare personalmente operazioni potenzialmetne dannose per il proprio computer.

Approfondimenti

Note

  1. Ogni programma di posta elettronica ha il suo modo di visualizzare l'header, ecco le istruzioni per alcuni dei più diffusi:
    PineTasto: H
    Netscape
    Mozilla
    Menu: View --> Header --> All
    Outlook
    Express
    Click con tasto destro su intestazione messaggio:
          --> Proprietà --> Dettagli

     
  2. Le informazioni che ci interessano vengono normalmente introdotte nell'header dai vari server che il messaggio attraversa. In particolare la prima linea (l'ultima aggiunta) viene inserita dal server locale. Per questo motivo è l'unica affidabile: tutte le altre arrivano insieme al messaggio e possono quindi essere contraffatte.