Una delle tecniche piรน diffuse e meno rilevabili รจ quella del falso annullamento di iscrizioni a mailing list: per assicurarsi che un indirizzo email sia effettivamente attivo e utilizzato, lโattaccante invia alla potenziale vittima un finto link di cancellazione da una mailing list inesistente, invitandolo a cliccare sul link presente nel corpo del messaggio per non ricevere piรน quel tipo di comunicazioni.
La tecnica รจ particolarmente efficace nel caso di utenti che utilizzano assiduamente un determinato indirizzo email, in quanto, nel tentativo di limitare la ricezione di email indesiderate, saranno indotti a cliccare sul link raggiungendo invece un sito appositamente realizzato per registrare lโaccount e la data di contatto.
Intermezzo promozionale ... continua la lettura dopo il box:
Usufruisci di uno sconto per fare un CONTROLLO DELLA REPUTAZIONE PERSONALE o AZIENDALE [ click qui ]
Unโaltra tecnica estremamente comune, concepita inizialmente per finalitร di marketing, รจ conosciuta col nome di โtracking pixelโ e consiste nellโinserimento, allโinterno del corpo della email, di unโimmagine con sfondo bianco o trasparente che verrร scaricata da un server remoto.
Possiamo vedere un esempio dimostrativo in cui si รจ scelto di utilizzare unโimmagine 1×1 di colore nero โ a differenza dei casi reali in cui, come detto, รจ bianca o trasparente โ per evidenziare quanto sia difficile notarne la presenza. Se anche venisse individuata, inoltre, sarebbe facilmente scambiata per un segno di punteggiatura.
Lโimmagine non รจ inserita direttamente nellโemail ma viene richiamata automaticamente attraverso una URL che consente allโautore dellโemail di tracciare la vittima. La presenza del tracking pixel, inoltre, puรฒ essere verificata solo ispezionando il codice sorgente dellโemail.
Nellโesempio ricreato a fini dimostrativi, a ogni apertura dellโemail seguirร lo scaricamento dal dominio evildomain.tdl (dominio inesistente, utilizzato per soli scopi illustrativi) di unโimmagine di dimensioni 1×1 pixel, azione che comunica al proprietario del dominio lโindirizzo email della vittima.Oltre ai valori contenuti nei parametri dellโURL dellโimmagine, verranno inviate le altre informazioni contenute nella richiesta GET, ovvero indirizzo IP, Browser utilizzato, User-Agent, ecc.
Un possibile scenario in cui lโattore malevolo procede al salvataggio in un file di testo delle informazioni contenute nella richiesta effettuata dal tracking pixel.
Per massimizzare le possibilitร di successo di queste tecniche ed evitare possibili errori causati dalla presenza di accenti o di caratteri particolari che potrebbero, tra le altre cose, corrompere il link o rendere la risorsa inaccessibile, gli attaccanti utilizzano spesso tecniche di codifica delle informazioni relative allโutente. Potrebbe ad esempio accadere che venga inserito nel corpo della email un link.
Alcuni client di posta come, ad esempio, Mozilla Thunderbird implementano di default meccanismi di sicurezza che notificano il tentativo di scaricamento di contenuto remoto da parte dellโemail, bloccando preventivamente lโazione e rimettendo allโutente la scelta di proseguire.
Intermezzo promozionale ... continua la lettura dopo il box:
Tuttavia, nella maggior parte degli applicativi per la visualizzazione della posta elettronica tramite browser, questa contromisura รจ spesso opzionale e disattivata di default.
Azioni consigliate
Sebbene le tecniche presentate non rappresentino di per sรฉ una minaccia immediata alla sicurezza dellโaccount di posta della vittima, possono preludere a successive attivitร malevole, ad esempio diย phishing.
Gli utenti e le organizzazioni possono far fronte a questa tipologia di attacchi verificando scrupolosamente le email ricevute e attivando le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere email sospette o di phishing;
- assicurarsi che il programma di posta utilizzato (client o web) sia correttamente configurato per bloccare il caricamento automatico dei contenuti remoti;
- cliccare su un link solo se si conosce lโattendibilitร del dominio che ospita la risorsa.
Fonte : https://csirt.gov.it/
