EMAIL spoofing: come un malintenzionato può impersonificare te stesso
Partiamo dal termine…
SPOOFING: falsificare, contraffare
Ma è proprio vero che una email inviata da una persona a nome di un altro è una contraffazione? Un malintenzionato che mette come mittente la mail di un altro sta manomettendo il sistema di invio delle mail? Tecnicamente si potrebbe dire di no perchè è proprio il protocollo SMTP che prevede la personalizzazione del mittente senza nessun controllo o registrazione. Ma a livello legale questa cosa si può fare? No perchè almeno in Italia interviene la legge:
Art. 494 Codice Penale: Chiunque, al fine di procurare a sé o ad altri un vantaggio(1) o di recare ad altri un danno, induce taluno in errore, sostituendo illegittimamente la propria all’altrui persona(2), o attribuendo a sé o ad altri un falso nome(3), o un falso stato(4), ovvero una qualità a cui la legge attribuisce effetti giuridici(5), è punito, se il fatto non costituisce un altro delitto contro la fede pubblica, con la reclusione fino ad un anno(6)
Che è la legge per la protezione del furto di identità. Infatti il reato non sta direttamente nell’ impostare un mittente differente dal vero mittente ma nel fingere di essere qualcun altro percorrendo fini malevoli.
Analizziamo più in dettaglio il protocollo. Il protocollo SMTP per l’invio delle mail originariamente era friubile alla porta 25 dei server, oggi viene servito alle porte 465 e 587 su canali crittografati o cifrati. L’SMTP prevede l’invio di una sequenza di comandi per specificare i dettagli della mail
E’ interessante notare che il client invii la stessa informazione due volte: il mittente e il destinatario. Il mittente viene replicato sia tramite il comando MAIL FROM:<mittente> che quando viene scritto nel corpo della mail in From:<mittente>. Ma cosa succede se l’indirizzo inserito è differente nei due punti? Oppure cosa potrebbe succedere se uno dei due è lasciato intenzionalmente vuoto?
Il protocollo è libero, è nato così quindi il server SMTP può accettare tranquillamente mail con mittenti differenti o vuoti anche se ultimamente i Big Tech stanno promuovendo una politica per cui almeno il dominio deve essere lo stesso.
Inoltre c’è da dire che i filtri SPAM spesso usano queste informazioni per definire se un messaggio può essere pericoloso.
Inoltre attraverso l’analisi del messaggio originale potremmo avere alcuni sospetti. Si utilizzi un tool per l’analisi dell’header del messaggio. Facendo mostra originale nella pagina di lettura dell’email si prenda tutto il testo e lo si incolli nell’apposita area del tool. (https://mxtoolbox.com/Public/Tools/EmailHeaders.aspx)
In realtà esistono altri due metodi per impostare un mittente “non autentico” cioè associato ad una persona differente o non esistente.
La tecnica dell’intermediario fidato è molto semplice e sfrutta le librerie di un sito di hosting. In questo caso utilizzando la chiamata per l’invio della mail è possibile spedire email a qualsiasi destinatario e con qualsiasi mittente fermo restando che tutto sarà tracciato nella mail.
In questo caso anche il client di posta potrebbe informarti che la mail è stata inviata da un dominio differente
Già con uno sguardo si capisce che il dominio del mittente non è lo stesso del server SMTP e questo ci dovrebbe insospettire.
Abbiamo conferma con l’analisi dell’header
L’ultima tecnica è la più efficace ed è anche la più malevola infatti modifica replicando i certificati di autenticità del server di invio mail. E’ più complicata da implementare ma niente di straordinario.
In questo caso però è più difficile identificare l’attività fraudolenta direttamente indagando a lato tecnico cioè investigando sull’header. Se una email è falsificata in modo impeccabile, è essenziale esercitare un giudizio critico nella valutazione non solo dell’intestazione (header) ma anche del contenuto. Bisogna considerare gli aspetti distintivi come la formattazione del testo, la scelta della lingua, la correttezza grammaticale, e altri dettagli per identificare eventuali segni di falsificazione.
