Una delle tecniche più diffuse e meno rilevabili è quella del falso annullamento di iscrizioni a mailing list: per assicurarsi che un indirizzo email sia effettivamente attivo e utilizzato, l’attaccante invia alla potenziale vittima un finto link di cancellazione da una mailing list inesistente, invitandolo a cliccare sul link presente nel corpo del messaggio per non ricevere più quel tipo di comunicazioni.
La tecnica è particolarmente efficace nel caso di utenti che utilizzano assiduamente un determinato indirizzo email, in quanto, nel tentativo di limitare la ricezione di email indesiderate, saranno indotti a cliccare sul link raggiungendo invece un sito appositamente realizzato per registrare l’account e la data di contatto.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Un’altra tecnica estremamente comune, concepita inizialmente per finalità di marketing, è conosciuta col nome di “tracking pixel” e consiste nell’inserimento, all’interno del corpo della email, di un’immagine con sfondo bianco o trasparente che verrà scaricata da un server remoto.
Possiamo vedere un esempio dimostrativo in cui si è scelto di utilizzare un’immagine 1×1 di colore nero – a differenza dei casi reali in cui, come detto, è bianca o trasparente – per evidenziare quanto sia difficile notarne la presenza. Se anche venisse individuata, inoltre, sarebbe facilmente scambiata per un segno di punteggiatura.
L’immagine non è inserita direttamente nell’email ma viene richiamata automaticamente attraverso una URL che consente all’autore dell’email di tracciare la vittima. La presenza del tracking pixel, inoltre, può essere verificata solo ispezionando il codice sorgente dell’email.
Nell’esempio ricreato a fini dimostrativi, a ogni apertura dell’email seguirà lo scaricamento dal dominio evildomain.tdl (dominio inesistente, utilizzato per soli scopi illustrativi) di un’immagine di dimensioni 1×1 pixel, azione che comunica al proprietario del dominio l’indirizzo email della vittima.Oltre ai valori contenuti nei parametri dell’URL dell’immagine, verranno inviate le altre informazioni contenute nella richiesta GET, ovvero indirizzo IP, Browser utilizzato, User-Agent, ecc.
Un possibile scenario in cui l’attore malevolo procede al salvataggio in un file di testo delle informazioni contenute nella richiesta effettuata dal tracking pixel.
Per massimizzare le possibilità di successo di queste tecniche ed evitare possibili errori causati dalla presenza di accenti o di caratteri particolari che potrebbero, tra le altre cose, corrompere il link o rendere la risorsa inaccessibile, gli attaccanti utilizzano spesso tecniche di codifica delle informazioni relative all’utente. Potrebbe ad esempio accadere che venga inserito nel corpo della email un link.
Alcuni client di posta come, ad esempio, Mozilla Thunderbird implementano di default meccanismi di sicurezza che notificano il tentativo di scaricamento di contenuto remoto da parte dell’email, bloccando preventivamente l’azione e rimettendo all’utente la scelta di proseguire.
Intermezzo promozionale ... continua la lettura dopo il box:
Tuttavia, nella maggior parte degli applicativi per la visualizzazione della posta elettronica tramite browser, questa contromisura è spesso opzionale e disattivata di default.
Azioni consigliate
Sebbene le tecniche presentate non rappresentino di per sé una minaccia immediata alla sicurezza dell’account di posta della vittima, possono preludere a successive attività malevole, ad esempio di phishing.
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le email ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere email sospette o di phishing;
- assicurarsi che il programma di posta utilizzato (client o web) sia correttamente configurato per bloccare il caricamento automatico dei contenuti remoti;
- cliccare su un link solo se si conosce l’attendibilità del dominio che ospita la risorsa.
Fonte : https://csirt.gov.it/
