con l'email spoofing la manda direttamente con pluto
Devo ricredermi hai ragione spulciando un po ho trovato come allego il tutto magri fa comodo a
@Shini°
Con un normale client di posta elettronica (come Microsoft Outlook), l'indirizzo del mittente viene inserito automaticamente quando un utente invia un nuovo messaggio di posta elettronica. Ma un attaccante può automatizzare l’invio di messaggi servendosi di un semplice script in Python o altri linguaggi di scripting, che configuri l'indirizzo email del mittente con uno a scelta. Le API di configurazione degli endpoint email consentono ad un mittente di specificare l'indirizzo del mittente indipendentemente dall'esistenza dell'indirizzo. E i server di posta in uscita non riescono a determinare se l'indirizzo del mittente sia legittimo.
La posta in uscita viene raccolta e instradata utilizzando il Simple Mail Transfer Protocol (SMTP). Quando un utente clicca su “Invia” in un client di posta elettronica, il messaggio viene prima inviato al server SMTP in uscita configurato nel software client. Il server SMTP identifica il dominio del destinatario e lo instrada al server di posta elettronica del dominio. Il server di posta elettronica del destinatario indirizza il messaggio alla casella di posta elettronica dell'utente giusto.
Per ogni passaggio (in gergo definito hop) a cui è sottoposto un messaggio di posta elettronica mentre viaggia su Internet da un server all'altro, viene registrato l'indirizzo IP di ogni server e incluso nelle intestazioni dell'email. Questi header rivelano il vero percorso e il vero mittente, ma molti utenti non controllano gli header prima di interagire con il mittente di un'email.
Le tre componenti principali di un'email sono:
- L'indirizzo del mittente
- L'indirizzo del destinatario
- Il corpo dell'email
Un altro componente spesso utilizzato nel phishing è il campo Reply-To (Rispondi a). Anche questo campo è configurabile dal mittente e può essere utilizzato in un attacco di phishing. L'indirizzo Reply-To indica al software di posta elettronica del client dove inviare una risposta, e può essere diverso dall'indirizzo del mittente. Anche in questo caso, i server di posta elettronica e il protocollo SMTP non accertano se questa email è legittima o contraffatta. Spetta all'utente stare attento e rendersi conto che la risposta andrà al destinatario sbagliato.
Ecco un esempio di email contraffatta:
Si noti che l'indirizzo email nel campo From (Da) del mittente è presumibilmente di Bill Gates (
[email protected]). Ci sono due sezioni da esaminare negli header delle email. La sezione “Received” (Ricevuto) mostra che l'email è stata originariamente gestita dal server di posta elettronica email.random-company.nl, che è il primo indizio che questa email è stata falsificata. Ma il campo più indicativo da controllare è il “Received-SPF”, che nell’esempio riporta lo stato “Fail” (Fallito).
Il Sender Policy Framework (SPF) è un protocollo di sicurezza definito come standard nel 2014. Funziona in combinazione con il
DMARC (Domain-based Message Authentication, Reporting and Conformance) per bloccare malware e attacchi phishing.
L’SPF è in grado di rilevare le email contraffatte, ed il suo utilizzo è diventato comune nella maggior parte dei servizi di posta elettronica per combattere il phishing. Ma è responsabilità del titolare del dominio utilizzare l'SPF. Per utilizzare l’SPF, il proprietario di un dominio deve configurare una voce DNS TXT specificando tutti gli indirizzi IP autorizzati ad inviare email per conto del dominio. Quando il campo DNS è configurato, i server email del destinatario controllano l'indirizzo IP quando ricevono un messaggio per assicurarsi che sia tra gli indirizzi IP dei domini email autorizzati. Se c'è corrispondenza, il campo Received-SPF visualizza lo stato PASS. Se non c'è corrispondenza, il campo visualizza lo stato FAIL. I destinatari dovrebbero verificare questo stato quando ricevono email con link, allegati o istruzioni scritte.