Spammer in cerca di conferme

 

Ecco come uno spammer cerca di trovare conferma se un indirizzo e-mail è valido

 

Purtroppo non è raro di trovare e-mail di spam nel proprio indirizzo e-mail :-(
Una delle ultime mi ha fatto intuire come si fossero ingegnati gli spammer nel cercare conferme se una mailbox fosse attivata o meno.
Per prima cosa c'è da dire che alcuni server quando ricevono un'e-mail verso un account richiesto inesistente notificano un messaggio di errore mentre altri non inviano alcuna informazione.

Stavo dicendo di aver ricevuto questa e-mail che mi informava l'arrivo di un messaggio su Twitter. La cosa curiosa è che non essendo iscritto a Twitter mi sono chiesto come avessero fatto...
La prima cosa che notavo era la presenza di elementi grafici richiamati dal sito ufficile di Twitter e dei link che puntano a tutt'altro dominio, e questo è già un primo campanello d'allarme che non si dovrebbe ignorare.
Inoltre il link per rimuovere la sottoscrizione non punta al dominio di Twitter ma ad uno esterno. Dando un'occhiata agli address IP assegnati a Twitter si nota che è stata assegnata la porzione di rete 168.143.0.0/16 che non è nient'altro che un'intera classe "B" in grado di contenere fino a 65.534 Indirizzi Host. Verrebbe da pensare perché non usano direttamente uno tra le decine di migliaia di address IP che hanno a disposizione anziché ricorrere ad un altro dominio? Tanto per scrupolo provo ad inserire l'host name nella barra degli indirizzi, "Vai", e vedo che il dominio è stato bollato come "Segnalato sito contraffatto" dal sistema antifrode. Molto interessante questo caso, non c'è che dire!
Ricordo che per ricavare l'indirizzo del server e quindi la rete dato il nome di un dominio si può per esempio procedere con un PING come qui mostrato: 

$ ping twitter.com
PING twitter.com (168.143.171.84) 56(84) bytes of data.
64 bytes from 168.143.171.84: icmp_seq=1 ttl=243 time=207 ms
64 bytes from 168.143.171.84: icmp_seq=2 ttl=243 time=203 ms
64 bytes from 168.143.171.84: icmp_seq=3 ttl=243 time=202 ms
64 bytes from 168.143.171.84: icmp_seq=4 ttl=243 time=201 ms
64 bytes from 168.143.171.84: icmp_seq=5 ttl=243 time=205 ms
^C
--- twitter.com ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 201.646/204.302/207.598/2.221 ms

Poi con un whois ho trovato tutti i dettagli che avevo detto precedentemente.
Ho quindi visualizzato gli header dell'e-mail ed ho trovato un bel po' di cose interessanti, vediamole in dettaglio.
La prima cosa che ho fatto è stata quella di cercare il primo "Received:" inserito negli header che si trova in fondo a tutti. In sostanza l'ultimo viene inserito in cima a tutti. Quindi leggo: 

Received: from unknown (HELO unix26.hsphere.cc) (216.81.73.128)
  by mxavas1-pc.ad.aruba.it with SMTP; 24 Nov 2010 04:23:53 -0000

Esso indica che è stato fatto utilizzando il protocollo SMTP, l'host mittente si chiama "unix26.hsphere.cc" con address IP 216.81.73.128 mentre il destinatario della connessione è l'host mxavas1-pc.ad.aruba.it (il server del mio account e-mail).
Controlliamo che l'hostname e l'indirizzo IP indicato nell'header mostrato coincidano con un ping: 

$ ping unix26.hsphere.cc
PING unix26.hsphere.cc (216.81.73.128) 56(84) bytes of data.
64 bytes from unix26.hsphere.cc (216.81.73.128): icmp_seq=1 ttl=47 time=156 ms
64 bytes from unix26.hsphere.cc (216.81.73.128): icmp_seq=2 ttl=47 time=259 ms
64 bytes from unix26.hsphere.cc (216.81.73.128): icmp_seq=3 ttl=47 time=157 ms
64 bytes from unix26.hsphere.cc (216.81.73.128): icmp_seq=4 ttl=47 time=155 ms
^C
--- unix26.hsphere.cc ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 155.945/182.348/259.176/44.365 ms

Quindi è confermato che l'hostname coincide con l'indirizzo IP indicato nell'header. È vero che alcuni server sono configurati per non risponde ai ping per evitare il Ping of Death (PoD).
Notiamo anche la presenza di un Reply-To che è impostato ad un account "noreplay" associato a postmaster di Twitter. Per definizione tutti i domini hanno un account di postmaster ed i malfattori ne hanno cercato uno in maniera tale che non inviasse eventuali notifiche di fallimento dell'e-mail. Per inciso non suggerisco mai di spedire comunicazioni importanti all'account di postmaster ma di utilizzare solamente quelli indicati nelle pagine del sito.
Inoltre l'account e-mail indicato nel campo From differisce dal quello indicato nel Return-Path essendo quest'ultimo uno di fantasia scelto sulla versione Inglese Di Yahoo!
Già con quest'analisi si dovrebbero sentire nitidamente numerosi campanelli di allarme squillare con estrema intensità, ma andiamo avanti.
Attraverso un RDNS all'address IP 216.81.73.128 precedentemente riportato nel corso del primo Received notiamo che è associato alla Vortech (216.81.64.0/20) e l'hostname da cui è partita è "unix26.hsphere.cc", che provando ad aprire come sito internet vediamo che permette di usare una Web Utility Shell oltre a database utility per MySQL e PostgreSQL, che di per sé potrebbe essere un utile servizio per applicarsi nelle conoscenze delle tecnologie Unix/Linux.
Quindi con questa WebShell lo spammer ha impartito opportuni comandi che hanno permesso di realizzare e spedire l'e-mail.

Ritorniamo al contenuto dell'e-mail, dunque si annuncia l'arrivo di un messaggio Twitter ed un po' sotto un link per cancellarsi dal servizio. Diamo un'occhiata a quello che c'è "sotto il cofano" e notiamo che il link punta dritto dritto verso il sito segnato contraffatto.
Con buona sicurezza possiamo dedurre il ragionamento fatto dallo spammer: se l'utente effettivamente fosse iscritto su Twitter sarebbe indotto ad aprire la pagina del link associato al messaggio, ma non era nel dominio di Twitter (magari la pagina di login), bensì verso un altro dominio contrassegnato come "contraffatto".
Invece se la loro vittima non avesse un account Twitter se avesse voluto segnalare il problema non sarebbe stato processato in una pagina del dominio di Twitter ma in una di quel dominio contraffatto.

Ma in entrambi i modi l'utente sarebbe "cascato" nella loro trappola indicando loro che l'account e-mail era bello vivo e funzionante.
Vi esorto a prestare massima attenzione alle e-mail che si ricevono, in particolare dagli sconosciuti!

 

L'ultima modifica alla pagina è del 27-01-2012

 
Condividi con i tuoi amici la pagina  

Incorpora nel tuo blog o nel tuo sito il codice XHTML/HTML per il link a questa pagina:

Copia ed incolla il link di questa pagina, oppure se avessi il client email configurato segnala la pagina.

Oppure puoi prenderlo dal permalink:

 

Articoli correlati

  • Non ancora in relazione

Aumenta i tuoi clienti ed il tuo business

Hai un sito che non rende?
Prova la soluzione di qualità!

Per liberi professionisti, PMI
artigiani e commercianti.

Se non sei in Rete, od il sito è introvabile, richiedi un
preventivo gratuito.

La soluzione vincente ti sta già aspettando online.

News

:: SCONTO ROTTAMAZIONE SITI FLASH E "MI PIACE" ::

Si rottamano siti web in flash con nuovi basati sulla tecnologia XHTML e fogli di stile CSS usufruendo dello sconto di un terzo (33.33%) del costo normale purché di almeno 10 pagine XHTML ed esprimendo il "Mi Piace" alla pagina Facebook. Un Cliente può usufruire di questa offerta per un solo sito web. L'offerta non è cumulabile con altre.
Offerta valida per contratti stipulati dal 30 aprile al 31 maggio 2012 esclusivamente per nuovi clienti. Offerta non cumulabile con eventuali altre.

Inoltre l'iscrizione alla pagina Facebook dà il privilegio di ricevere istantaneamente tutte le novità, nuovi articoli e nuove allettanti offerte. Essere online non era stato così semplice!

 

Torna in cima alla pagina