Spam inviato da account libero.it … indagando

liberoL’altro giorno, sono stato vittima di quello che ho appreso essere un problema con cui gli utenti email libero.it fanno i conti ormai da molte settimane. In pratica viene inviata una email con l’indirizzo di Mario Rossi ad alcuni contatti effettivi del sig.Rossi però contenente spam. Essendo accaduto anche a qualche mio contatto, ed essendomi stata notificata questa stranezza mi sono allarmato poiché sospettavo che il mio account email fosse stato oggetto di un attacco, così mi sono fatto inviare la mail completa di header ed ho cominciato ad analizzarla, ecco cosa ho potuto dedurre. In primis ho notato che la mail era stata inviata apparentemente dal mio indirizzo ed era destinata a diversi contatti che avevo nella rubrica di libero. Questo particolare era la prova definitiva che qualcuno aveva messo le mani sui dati effettivi del mio account ma la sorpresa non era questa. Innanzitutto, svolgendo il tragitto della mail e dei server su cui era transitata ho potuto notare che la mail era rimbalzata su server tra Russia ed Hong Kong (alcuni server avevano porte per TOR) e quindi era arrivata al destinatario. Poi mi avevano incuriosito alcuni problemi nell’autenticazione del “sender” rispetto all’ip che inviava. A questo punto sono passato ad analizzare una email inviata dal mio account libero ed ho così potuto constatare che la mail di spam, molto probabilmente non era stata inviata accedendo al mio account. In pratical, la mail di spam non era transitata per i server di libero quindi è probabile che c’era stato uno spoofing dell’indirizzo ma i

Scarica l'ebook

Scarica l’ebook

destinatari della mail erano effettivamente autentici ed appartenenti alla mia rubrica. Dunque? A farmi venire l’ultimo sospetto sono stati vari articoli apparsi in rete che dicevano che il problema non si risolveva cambiando password. Perché? Semplice… secondo me il problema non si risolve proprio perché gli spammer che usano i nostri indirizzi di posta in realtà non accedono per nulla ai nostri indirizzi di posta. Non ne hanno bisogno per spammare. Il mio sospetto ricade sul fatto che un X criminale abbia guadagnato l’accesso ai database interni libero ed abbia trafugato i dati degli utenti in modo da associare un indirizzo ai suoi contatti. In questo modo avrebbe potuto rivendere il database sul mercato nero e gli spammer in possesso del database avrebbero potuto inviare mail da un indirizzo (in realtà camuffato – vedi Email Spoofing ) verso i suoi contatti. Una volta cambiata la propria password, magari sarebbe impossibile per il pirata in possesso di  quelle informazioni l’accesso diretto all’account ma nell’ottica di quest’attacco non sarebbe necessario questo passaggio perché forgiando una mail ad hoc la si può rendere verosimilmente inviata da noi verso i nostri contatti ed i nostri contatti sono portati a leggere quella mail perché appare il nostro nome come mittente. La mia è solo una supposizione ma se fosse giusta allora il problema dei dati trafugati sarebbe irrisolvibile mentre si potrebbe riconoscere l’autenticità di un messaggio, analizzando gli header e verificando che la mail sia ben costruita e soprattutto sia partita o transitata per server appartenenti a libero. In ogni caso, il pattern ricorrente (forse per evitare sospetti) è quello di inviare la mail con OGGETTO lo stesso nome utente di chi la invia, quindi una mail falsificata da mario.rossi@libero.it avrà come oggetto mario.rossi. Facilmente riconoscibile, non trovate? 🙂 In ogni caso ho chiesto delucidazioni allo staff di libero. Quando riceverò informazioni vi terrò aggiornati. Aggiornamento: La risposta di libero è arrivata qualche giorno fa ma, pur confermando il fatto che potrebbe trattarsi di spoofing, imputano il fatto alla scarsa sicurezza del mio account. Dato che il problema riguarda moltissimi utenti, continuo a dubitare fortemente che il problema sia stato delle singole password (non tutti usiamo qwerty e god). Inoltre insisto col pensare che accedere account per account e scaricare la rubrica di ogni account sia, a conti fatti, un’operazione dispendiosa che non porterebbe la reale quantità di dati richiesta ad uno spammer per colpire su un numero elevato di utenti. Ribadisco che secondo i miei sospetti c’è stato un leak di dati proveniente direttamente dal database… dati rubati in blocco, riorganizzati e magari venduti sul mercato nero alle organizzazioni criminali (almeno secondo le leggi del nostro paese) che si occupano di spam o altri reati telematici.   EDIT: Cosa ho fatto dopo aver saputo della questione: – Cambiato la password in una nuova, robusta e ovviamente non usata su altri servizi – Backup locale della rubrica degli indirizzi e cancellazione dal server – Notifica ai contatti che avevano ricevuto la mail di spam di non aprirla e di non aprire nuove mail da quell’indirizzo fino a nuova comunicazione. Questo non risolve il problema della rubrica trafugata o dell’invio di spam ma evita future intrusioni dirette all’account.

Advertisements

7 thoughts on “Spam inviato da account libero.it … indagando

  1. Articolo chiaro e completo… il contrario delle risposte di libero.it, incomplete e fumose.
    Quanto tempo ci vorrà per ammettere il furto in blocco dei dati?
    Ormai sono pochissimi quelli che hanno libero e che si sono salvati… questione di tempo?

    • Fughe di dati hanno colpito Sony come eBay. Per me se c’è stato un problema simile, è un pessimo errore quello di non aver fatto chiarezza subito.
      Sono troppi gli account colpiti dal problema per imputare il fattaccio ad un bruteforce (per quanto libero obblighi a password tra gli 8 e i 20 caratteri e non consenta alcuni simboli).
      Spero almeno che, se si è verificato un attacco, ora le vulnerabilità sono state chiuse.

      In ogni caso nessuno toglierà più dalle mani degli spammer le nostre rubriche. Un ulteriore incitamento ad usare la crittografia laddove i provider continuano a memorizzare le email e tutti i dati in chiaro per alimentare il business della pubblicità mirata.

      Grazie e saluti

  2. Ciao. Io ho cancellato l’account libero. A distanza di qualche mese alcuni miei contatti hanno ricevuto di nuovo la mail fatidica.. Che fare?

    • Purtroppo, se la mia analisi è corretta, è stato rubato il database che collega
      tuo_indirizzo@libero.it a tutti i tuoi contatti.
      In pratica le mail non partono dal tuo account ma sono mail false dirette ai tuoi contatti.
      Se è così, l’aver cancellato l’account non impedirà loro di continuare a mandare mail ai tuoi contatti a nome del tuo vecchio indirizzo libero.

      L’unica cosa che posso consigliarti è, dato che hai rimosso l’account, invia una mail a tutti i tuoi contatti spiegando loro che devono mettere il tuo vecchio indirizzo in blacklist. In questo modo tutte le mail inviate a nome di quell’indirizzo verranno automaticamente scartate.

      Spero di esserti stato d’aiuto

      • Non c’è bisogno che sia rubato un database, però: basta che uno dei propri contatti si lasci infettare il computer da un software malevolo usato dallo spammer. Esso poi spedisce spam con uno degli indirizzi della rubrica come falso mittente, a tutti gli altri indirizzi: è quella falsificazione del mittente che intendevano quelli di libero.it quando hanno parlato di “spoofing” nella loro risposta che citi nel post.

        Perciò il tuo consiglio di avvertire i contatti è sì validissimo, per quelli in comune con l’utente dal computer infetto. Però gli altri contatti presenti in esso saranno ancora spammabili.

        La cosa strana è che quelli di libero ti abbiano solo parlato di “spoofing” senza spiegarlo, apparentemente: hanno un ottimo tutorial, breve e chiaro in merito: Cosa è l’e-mail spoofing?.

      • Salve,
        il problema che mi ha spinto a pensare al database trafugato (e ripeto che è solo una mia ipotesi) è sia l’impronta massiva del fenomeno, riguardante moltissimi utenti libero, sia il fatto che le email spoofed riguardano però strettamente i contatti della propria rubrica.

        Se, secondo la sua analisi, caio_at_libero.it venisse infettato e nella sua rubrica ci fosse anche tizio_at_libero.it, allora sarebbe possibile far partire email a nome di tizio ma solo verso tutti i contatti di caio (che è colui che è stato infettato). Sarebbe pertanto difficile ricostruire la rete di contatti totale di tizio partendo dai dati raccolti da suoi contatti infettati.
        Dato che sono stato toccato dal fenomeno e dato che uso prevalentemente linux e password piuttosto resistenti, considero più difficile finire vittima di attacchi eppure anch’io e molti altri attenti alla sicurezza abbiamo visto partire email a nome nostro verso la quasi totalità della nostra rubrica.

        Ultimo ma non ultimo, il fatto che tale spam non parta anche da indirizzi gmail, yahoo o altri mi fa pensare che i loro programmi lavorino sulla correlazione
        email_at_libero.it –> indirizzi della rubrica
        senza ricostruire la rete di contatti, altrimenti come creano una mail con un indirizzo libero verso altri, potrebbero fare anche il contrario.

        Non so, per come stanno andando le cose per me loro hanno in mano una buona fetta del database dei contatti e, data l’estensione del fenomeno, dubito che sia stata ottenuta per negligenza di tutti gli utenti.

        Comunque che lo spam si tratti di mail spoofed su questo non c’è alcun dubbio e l’ho verificato io stesso prima che me lo dicessero da libero.

        Grazie per il commento, Saluti!

        Giovanni

  3. Pingback: Internet e la deduzione dell’informazione | Lettere dal Cyberspazio

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...