Nuove tecniche di SPAM

Nuove tecniche di SPAM

In questi giorni si sta verificando una nuova tipologia di “attacco” spam sfruttando come sistema quello della posta certificata (PEC).

Viene confezionato un messaggio apparentemente proveniente da un mittente legittimo, in questo caso post-certificata@pec.aruba.it (notare l’errore di ortografia) ed indirizzato ad una o più caselle mail di posta ordinaria.

Headers Forgiati

Il fatto che il mittente sia (apparentemente) una PEC e l’oggetto sia relativo a qualcosa di importante (in questo caso una fattura) è più che sufficiente per convincere l’utente della legittimità della comunicazione e porta ad aprire l’allegato che, tipicamente, è un virus quasi sicuramente di tipo ransomware (Cryptolocker o affini). In assenza di un sistema di protezione della posta elettronica la mail viene recapitata inalterata esponendo il ricevente al rischio di infezione.

Analizzando le intestazioni reali del messaggio si possono scoprire i segreti di questa mail apparentemente legittima:

Headers

Nell’immagine soprastante sono evidenziati:

  • in verde l’indirizzo IP del mittente originale, in questo caso il messaggio sembra provenire da due server diversi, 157.122.38.214 che si è identificato come asziqnmlejx.ufvmrlvshtwmk.biz e da 120.191.131.213 identificato come zi.nvrq.com;
  • in giallo il server che in ultima battuta ha spedito la mail a “noi”, in questo caso 95.242.130.102, un server di posta connesso ad internet da una linea Telecom Italia. Non è necessariamente una macchina compromessa (anche se varrebbe la pena dargli una controllata) perchè potrebbe semplicemente rimbalzare lo spam;
  • in rosso il finto mittente della mail
  • in viola il vero mittente della mail
  • in nero sono stati cancellati i destinatari reali della mail