Il fenomeno delle mail "phishing" (Il termine phishing è una variante di fishing,letteralmente "pescare" in inglese, probabilmente influenzato da phreaking e allude all'uso di tecniche sempre più sofisticate per "pescare" dati finanziari e password di un utente.
Vediamo un esempio:
In questo caso una mail APPARENTEMENTE spedita da Apple, avverte l'utente che è stata modificata la password dell'account iCloud. Logo, informazioni, riferimenti al sito originale sono CORRETTI, quello che cambia è il link "Il mio ID Apple", ed è proprio quello che ci invita a fare il messaggio.
Vediamo lo stesso messaggio "dietro le quinte":
Come vedete, il link sfrutta il sistema di reindirizamento di Google (per non far apparire direttamente il link finale) per farvi "atterrare" in un sito compromesso che, in una specifica pagina php vi "aspetta" con un copia del sito Apple in cui siete invitati ad inserire la vostra utente e password.
Ovviamente, quando procederete all'invio delle credenziali, non succederà nulla sulla pagina, ma i vostri dati saranno trasmessi ad un server che li raccoglie in modo sistematico e vi aggiunge ad un database di utenti "pescati".
E' probabile che le credenziali vengano poi vendute in pacchetti ad altri simpatici lavoratori del cybercrimine ...
Inutile fidarsi del mittente della mail (sembra provenire da apple_it@it.apple.com), analizzando i dati della trasmissione originale (ovviamente non potete farlo voi direttamente, a meno che non gestiate il server di posta !) la mail è stata spedita al nostro account info@tuoplanet.com da:
03/23/17 06:01:11 SMTP-IN D31602987EE74578BF0E80289726DAEB.MAI 1032 54.169.95.51 220 mail.dnn7.it ESMTP MailEnable Service, Version: 9.53-9.53- ready at 03/23/17 06:01:11 0 0
03/23/17 06:01:11 SMTP-IN D31602987EE74578BF0E80289726DAEB.MAI 1032 54.169.95.51 EHLO EHLO sin-zabbix.localdomain 250-dnn7.it [54.169.95.51], this server offers 4 extensions 123 29
03/23/17 06:01:11 SMTP-IN D31602987EE74578BF0E80289726DAEB.MAI 1032 54.169.95.51 MAIL MAIL FROM:<apple_it@it.apple.com> 250 Requested mail action okay, completed 43 35
03/23/17 06:01:11 SMTP-IN D31602987EE74578BF0E80289726DAEB.MAI 1032 54.169.95.51 RCPT RCPT TO:<info@tuoplanet.com> 250 Requested mail action okay, completed 43 30
03/23/17 06:01:12 SMTP-IN D31602987EE74578BF0E80289726DAEB.MAI 1032 54.169.95.51 DATA DATA 354 Start mail input; end with <CRLF>.<CRLF> 46 6
Si scopre che l'IP mittente è un server virtuale ospitato sulla cloud di Amazon (Amazon Technologies Inc. (AT-88-Z))
Procediamo con la notifica del phishing alla mail abuse@amazonaws.com ed aspettiamo fiduciosi (almeno fino alla prossima).