Come difendersi dalle mail di phishing | Il Portalinux - Portale di informazione su linux, free software ed open source

Devo aggiornare i filtri antiphishing ed il filtro antivirus -.-’ per una fortuita circostanza di eventi un fottuto canguro stava per fottere me…

Ieri sera mi casca una mail nella Inbox…

From: “Manager Alphonso Pritchett” <delivery@ups.com>

To: <donations@ilportalinux.it>

Subject: UPS Delivery Problem NR 71261.

In circostanze normali avrei polverizzato la mail prima ancora che questa venisse recapitata, caso volle però che nei giorni scorsi ho avuto a che dire con uno yankee della Transilvania (no, non parlo di dracula) perchè tramite ebay acquistai presso di lui un FURminator¹.

Solo che a quanto pare

Il gringo ha cercato di fottermi prendendosi i soldi e tenendosi la roba
L’oggetto è stato fregato durante il trasporto

..perchè io non lo ricevetti MAI, e dovetti aprire contestazione presso paypal per ottenere il rimborso. Il pisquano, per inciso, spediva utilizzando UPS (motivo per cui ci stavo cascando).

Leggendo “UPS delivery problem” mi incuriosisco quindi, e li per li guardo solo il “from” (errore!!) che mi conferma una mail proveniente da ups, la mail conteneva un allegato zippato che doveva essere un rapporto di mancata consegna che mi avrebbe guidato poi per decidere quando l’oggetto mi sarebbe stato ri-consegnato.

Apro l’allegato e tac, vedo che all’interno c’è un file .exe e capisco di essermi comportato da emerito coglione per una serie di motivi.

Primo perchè la mail parlava di un oggetto che IO avrei spedito con loro (ed invece dovevo riceverlo DA loro), ma gli eventi accaduti di recente evidentemente mi hanno fatto analizzare la cosa col prosciutto sugli occhi, e per quanta fame avessi avrei dovuto ragionare in via più lucida.

Come capire quindi se vogliono fotterci o meno? Di seguito una specie di “pronto soccorso” per capirlo a volo…

Dimenticatevi il campo from, è l’ultimo dei vostri amici, o per meglio dire il primo dei vostri nemici, perchè in fase di invio il campo from può contenere qualsiasi cosa vogliamo, io potrei anche inviarvi una mail che vi risulti pervenire da “dio@paradiso.org” informandovi che la vostra ora è arrivata (sarebbe una morte “2.0″ quantomeno no?)
Lo sapete già, non aprite allegati (soprattutto se usate windows) se la mail non proviene da contatti fidati e soprattutto dovete essere sicuri che il mittente sia realmente chi dice di essere.
Controllate il campo “to” o “destinatario”, spesso le mail malevoli vengono spedite a “undisclosed_recipient” o ad indirizzi completamente differenti dal vostro, la mail dell’esempio era stata spedita infatti a “donations@ilportalinux.it” e io me ne sono accorto solo dopo.
Controllate il codice sorgente della mail (ctrl+u su thunderbird) perchè quello è la carta di identità della mail che vi è stata recapitata.

Come leggere il sorgente della mail?

Chi non è un nerd incallito come me appena vede il codice sorgente della mail inizia ad avere i conati di vomito per le scritte incomprensibili, niente paura, di tutto quello spataffio ci interessano pochi campi.

In particolare ci interessa leggere il percorso che ha fatto la mail prima di giungere a noi, e questo lo vediamo leggendo i vari campi “Received:” che troviamo nella prima parte della mail, importante è sapere che questa sezione viene compilata con una logica inversa, vale a dire che il primo record che leggiamo corrisponde all’ultimo “tratto” del percorso che la mail ha effettuato, che corrisponde al mail server del nostro servizio di posta elettronica.

Partiamo quindi dal basso, per capire da dove è partita la mail, in questo esempio io ho avuto:

Received: from mail.ilportalinux.it ([127.0.0.1])

by localhost (mail.ilportalinux.it [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 9z7JOBFW-bG3

for <aanghelo@ilportalinux.it>; Wed, 3 Mar 2010 00:23:33 +0100 (CET)

Received: from b0631.static.pacific.net.au (b0631.static.pacific.net.au [210.23.149.49])

by mail.ilportalinux.it (Postfix) with ESMTP id C649C1647208

for <donations@ilportalinux.it>; Wed, 3 Mar 2010 00:22:38 +0100 (CET)

Received: from 210.23.149.49 by dev.null; Wed, 3 Mar 2010 10:22:29 +1000

Leggendo la prima riga già capiamo tutto perchè ci dice “questa mail è stata ricevuta da 210.23.149.49 da dev.null” bene sappiate che “dev.null” non è un nome host accettabile, è stato quindi alterato.

Mail.ilportalinux.it, b0631.static.pacific.net.au sono nomi host pienamente qualificati (FQDN), già con la prima riga quindi, capiamo che la mail può essere cestinata.

Ma in alcuni casi non troviamo dev.null ma un fqdn come è giusto che sia, come procedere quindi? Con un bel controllo incrociato!

La mail sembra provenire dal servizio di spedizione di lettere e pacchi UPS, iniziamo quindi a capire se è stato veramente il loro server a spedirci la mail, apriamo una shell ed iniziamo a controllare quali sono i mail server “ufficiali” della ups, partendo dal loro dominio che è ups.com:

morfeus@spippolostation:~$ host -nt mx ups.com

ups.com mail is handled by 10 email-vip.ups.com.

ups.com mail is handled by 10 email2-vip.ups.com.

Ok, già le cose non quadrano perchè la mail è stata consegnata al mio mailserver da b0631.static.pacific.net.au, quando in realtà sarebbe dovuto essere email-vip.ups.com o email2-vip.ups.com a destare la quiete del mio server. Ed infatti procedendo con l’analisi scopriamo che gli ip sono differenti:

morfeus@spippolostation:~$ host b0631.static.pacific.net.au

b0631.static.pacific.net.au has address 210.23.149.49

Mentre i server veri rispondono agli ip:

morfeus@spippolostation:~$ host email-vip.ups.com

email-vip.ups.com has address 153.2.242.49

email-vip.ups.com has address 153.2.242.50

morfeus@spippolostation:~$ host email2-vip.ups.com

email2-vip.ups.com has address 153.2.244.49

email2-vip.ups.com has address 153.2.244.50

E’ ufficiale quindi che la mail è falsa e può essere benissimo annichilita, a rafforzare la nostra tesi è anche la provenienza geografica della mail, il dominio ups.com ed i relativi mailserver risultano infatti essere in…(parti salienti in grassetto)

morfeus@spippolostation:~$ whois 153.2.244.50

OrgName: UNITED PARCEL SERVICE

OrgID: UPS-9

Address: 340 MACARTHUR BOULEVARD

City: MAHWAH

StateProv: NJ

PostalCode: 07430

Country: US

NetRange: 153.2.0.0 – 153.2.255.255

CIDR: 153.2.0.0/16

NetName: UPS

NetHandle: NET-153-2-0-0-1

Parent: NET-153-0-0-0-0

NetType: Direct Assignment

NameServer: NSA.UPS.COM

NameServer: NSB.UPS.COM

Comment:

RegDate: 1991-09-12

Updated: 2002-03-15

RTechHandle: ZU12-ARIN

RTechName: United Parcel Service

RTechPhone: +1-201-828-2480

RTechEmail: internet@ups.com

# ARIN WHOIS database, last updated 2010-03-02 20:00

# Enter ? for additional hints on searching ARIN’s WHOIS database.

#

# ARIN WHOIS data and services are subject to the Terms of Use

# available at https://www.arin.net/whois_tou.html

————————————————————————————

morfeus@spippolostation:~$ whois ups.com

Whois Server Version 2.0

Domain names in the .com and .net domains can now be registered

with many different competing registrars. Go to http://www.internic.net

for detailed information.

Domain Name: UPS.COM

Registrar: GROUP NBT PLC AKA NETNAMES

Whois Server: whois.netnames.com

Referral URL: http://www.netnames.com

Name Server: CBRU.BR.NS.ELS-GMS.ATT.NET

Name Server: CMTU.MT.NS.ELS-GMS.ATT.NET

Name Server: NS1-AUTH.SPRINTLINK.NET

Name Server: NS2-AUTH.SPRINTLINK.NET

Name Server: NSA.UPS.COM

Name Server: NSB.UPS.COM

Status: clientDeleteProhibited

Status: clientTransferProhibited

Status: clientUpdateProhibited

Updated Date: 16-feb-2010

Creation Date: 07-apr-1992

Expiration Date: 08-apr-2011

>>> Last update of whois database: Wed, 03 Mar 2010 09:01:00 UTC <<<

NOTICE: The expiration date displayed in this record is the date the

registrar’s sponsorship of the domain name registration in the registry is

currently set to expire. This date does not necessarily reflect the expiration

date of the domain name registrant’s agreement with the sponsoring

registrar. Users may consult the sponsoring registrar’s Whois database to

view the registrar’s reported date of expiration for this registration.

TERMS OF USE: You are not authorized to access or query our Whois

database through the use of electronic processes that are high-volume and

automated except as reasonably necessary to register domain names or

modify existing registrations; the Data in VeriSign Global Registry

Services’ (“VeriSign”) Whois database is provided by VeriSign for

information purposes only, and to assist persons in obtaining information

about or related to a domain name registration record. VeriSign does not

guarantee its accuracy. By submitting a Whois query, you agree to abide

by the following terms of use: You agree that you may use this Data only

for lawful purposes and that under no circumstances will you use this Data

to: (1) allow, enable, or otherwise support the transmission of mass

unsolicited, commercial advertising or solicitations via e-mail, telephone,

or facsimile; or (2) enable high volume, automated, electronic processes

that apply to VeriSign (or its computer systems). The compilation,

repackaging, dissemination or other use of this Data is expressly

prohibited without the prior written consent of VeriSign. You agree not to

use electronic processes that are automated and high-volume to access or

query the Whois database except as reasonably necessary to register

domain names or modify existing registrations. VeriSign reserves the right

to restrict your access to the Whois database in its sole discretion to ensure

operational stability. VeriSign may restrict or terminate your access to the

Whois database for failure to abide by these terms of use. VeriSign

reserves the right to modify these terms at any time.

The Registry database contains ONLY .COM, .NET, .EDU domains and

Registrars.The data in the Netnames Whois database is provided by

Netnames for information purposes only, that is, to assist in

obtaining information about or related to a domain name registration

record. Netnames makes this information available “as is,” and

does not guarantee its accuracy. By submitting a WHOIS query, you

agree that you will use this data only for lawful purposes and that,

under no circumstances will you use this data to:

(1) allow, enable, or otherwise support the transmission of mass

unsolicited, commercial advertising or solicitations via e-mail

(spam); or (2) enable high volume, automated, electronic processes

that apply to Netnames (or its systems). The compilation,

repackaging, dissemination or other use of this data is expressly

prohibited without the prior written consent of Netnames.

Netnames reserves the right to modify these terms at any time.

By submitting this query, you agree to abide by these terms.

Registrant:

United Parcel Service

340 MacArthur Blvd

Mahwah NJ

07430

US

Domain name: ups.com

Created on: 1992-04-07

Expires on: 2011-04-08

Administrative contact:

Joe Curley

340 MacArthur Blvd

Mahwah NJ

07430

US

+1.2018282480

+1.2018284895

internet@ups.com

Technical contact:

Internet Systems Support

340 MacArthur Blvd.

Mahwah NJ

07430

US

+1.2018282480

+1.2018284895

internet@ups.com

Domain name servers:

CBRU.BR.NS.ELS-GMS.ATT.NET 199.191.128.105

CMTU.MT.NS.ELS-GMS.ATT.NET 12.127.16.69

NS1-AUTH.SPRINTLINK.NET 206.228.179.10

NS2-AUTH.SPRINTLINK.NET 144.228.254.10

NSA.UPS.COM 153.2.242.115

nsb.ups.com 153.2.244.155

Mentre l’ip che ha contattato il mio mailserver proviene dall’australia (ecco spiegata l’avversione verso i canguri di inizio articolo, animali che io adoro tra l’altro)…

morfeus@spippolostation:~$ whois 210.23.149.49

% [whois.apnic.net node-1]

% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 210.23.128.0 – 210.23.159.255

netname: PI-AU

descr: Pacific Internet (Australia) Pty Ltd

descr: PO Box 12101

descr: A’Beckett St Post Office

descr: Melbourne VIC 8006

country: AU

admin-c: ADM2-AP

tech-c: ADM2-AP

mnt-by: APNIC-HM

mnt-lower: MAINT-AU-PI

changed: hm-changed@apnic.net 20021203

status: ALLOCATED PORTABLE

source: APNIC

role: APNIC Database Maintainer

address: PACIFIC INTERNET (AUSTRALIA) PTY LIMITED

address: PO BOX 12101

address: A’Beckett ST PO

address: MELBOURNE VIC 8006

address: AUSTRALIA

phone: +61-1300-555-075

fax-no: +61-1300-555-072

e-mail: netadmin-ip@pacific.net.au

trouble: Spam and Security: abuse@pacific.net.au

trouble: Network Issues: noc@pacific.net.au

admin-c: PH54-AP

tech-c: PH54-AP

nic-hdl: ADM2-AP

remarks: APNIC Database Maintainer

notify: netadmin-ip@pacific.net.au

mnt-by: MAINT-AU-PI

changed: netadmin-ip@pacific.net.au 20010327

source: APNIC

route: 210.23.149.0/24

descr: Pacific Internet (Australia) Pty Ltd

origin: AS7543

mnt-by: MAINT-AS7474

changed: noc@optus.net.au 20060120

source: RADB

route: 210.23.148.0/23

descr: Pacific Internet (Australia) Pty Ltd

origin: AS7543

mnt-by: MAINT-AS7474

changed: noc@optus.net.au 20060120

source: RADB

route: 210.23.148.0/22

descr: Melbourne more-specific of 210.23.144.0/20 for Pacific Internet (Australia) P/L

origin: AS7543

mnt-by: MAINT-AS7543

changed: netadmin-routing@pacific.net.au 20030225

source: RADB

route: 210.23.144.0/21

descr: Pacific Internet (Australia) Pty Ltd

origin: AS7543

mnt-by: MAINT-AS7474

changed: noc@optus.net.au 20060120

source: RADB

route: 210.23.144.0/20

descr: SYD-210-23-144-20-PI-AU

origin: AS7543

mnt-by: MAINT-AS7543

changed: netadmin-routing@pacific.net.au 20020316

source: RADB

route: 210.23.128.0/19

descr: Primary subnet for Pacific Internet (Australia) P/L

origin: AS7543

mnt-by: MAINT-AS7543

changed: netadmin-routing@pacific.net.au 20020514

source: RADB

route: 210.23.128.0/19

descr: Pacific Internet Limited (8098)

origin: AS9501

notify: routing@connect.com.au

mnt-by: MAINT-AS2764

changed: chris@connect.com.au 19991117

source: RADB

Mistero risolto quindi, e non abbiamo nemmeno dovuto scomodare la polizia postale…meglio di cosi

A proposito, se avete gatti in casa ve lo consiglio, non avete idea di quanti peli possa tirar via quella spazzola, se volete chiarimenti scrivete nei commenti. [↩]

Replica More from author

killeader

Posted marzo 3, 2010 at 9:19 AM

Quasi da Hall of Shame

M0rF3uS

Posted marzo 3, 2010 at 9:23 AM

ma sai che ci pensavo mentre lo scrivevo? eheheh adesso lo inserisco

Barra

Posted marzo 3, 2010 at 9:36 AM

Dimmi di + sulla spazzola magica, ne ho 5 di gatti in casa e ormai passo + tempo a togliere peli che a letto…..

Posted marzo 3, 2010 at 12:01 PM

ti capisco il furminator è una spazzola levapeli per cani, gatti, cavalli e qualsiasi animale che richiede la toelettatura del pelo.
Ha una forma particolarmente ergonomica e riesce a lavorare molto bene sia il il pelo superficiale che il sottopelo (che è quello che genera più peli svolazzanti) di contro costa un botto, ma credimi che sono soldi ben spesi. Se cerchi su youtube o sui forum per animali troverai un sacco di video dimostrativi e considerazioni. Per qualsiasi cosa sono qui

Posted marzo 4, 2010 at 10:15 AM

Bello, nel fine settimana mi documento e ne prendo uno. Thanks!

Posted marzo 4, 2010 at 10:21 AM

prego fa sempre piacere essere d'aiuto, ti consiglio di documentarti molto bene su come usarlo (pressione e modo di pettinare) perchè appena lo prendi in mano ti rendi conto di quanto sia massiccio, e non vorrei che esagerando graffi od irriti la pelle della bestia. Io ho preso un furminator giallo dimensione media che va bene in genere per tutti i gatti, se li hai a pelo molto corto di consiglio lo small, in linea generale sappi che non è strettamente necessario comprare il purple che viene segnalato come fatto apposta per i gatti (e costa un troiaio), vanno bene tutti.

Posted marzo 4, 2010 at 12:15 PM

Posted marzo 4, 2010 at 12:21 PM

E io che ci stavo pure cascando..

Come leggere il sorgente della mail?

Altri articoli che potrebbero interessarti

About the Author

8 Comments

Leave a Reply

Statistiche

Some right reserved

Scegli come ricevere gli ultimi articoli:

Il Portalinux è anche su facebook

Sondaggio in corso

Basta MSN, usa Jabber!

Categorie

Meta