Nel primo articolo abbiamo illustrato diversi modi per verificare e fidarci di un sito, alcuni di questi anche molto tecnici come il Whois Domain.
Oggi spiegheremo come analizzare un Url (letteralmente il sito web che andiamo a scrivere nella barra degli indirizzi di navigazione), ad esempio il classico https://www.google.com/
La prima parte definisce il protocollo di navigazione usato, HTTPS://, navigando su internet, da utenti standard, vedremo solo HTTP e HTTPS. Questa parte dell'Url non ci dice molto riguardo al sito che stiamo visitando, ma è bene tenere a mente che la differenza tra i due protocolli è che HTTP è una navigazione con scambio di dati in chiaro, non cifrati, mentre HTTPS sta a significare che è attiva una cifratura dei dati tra client (noi) e server (sito web). Quindi quando effettuate un Login, navigate su un e-commerce, il sito della vostra banca, ecc. Sarebbe meglio farlo sempre in HTTPS, cosa che ormai è divenuto uno standard di sicurezza base.
Dopo la definizione del protocollo arriva l'analisi che ci interessa, quella del dominio. Iniziamo col dire che di un Url l'analisi che ci interessa va sempre dai primi due slash // (https://) al prossimo primo slash / che incontriamo nella lettura di un Url (nel caso nell'Url ne siano presenti), ad es. https://www.tutto-sconti.it/index.php/acquistare-in-sicurezza/verificare-attendibilita, di questo Url a noi interesserà analizzare solo la parte evidenziata in rosso, da slash a slash. Per l'analisi è importante sapere che nella parte dell'url evidenziata l'utilizzo del . (punto) segue delle regole specifiche, non può essere utilizzato per registrare il nome di un sito, non avremmo potuto registrare tutto.sconti.it, per fare un esempio, a meno di non creare dei sotto domini. Il punto che segue al www non va tenuto in considerazione per l'analisi. Procediamo con l'analisi, nell'esempio in questione https://www.google.com/, si chiama dominio di primo livello la parte a destra del punto fino allo slash, cioè .com in questo caso, esistono tantissimi domini di primo livello: .it, .eu, .org, .info, .cloud, .de, .ch ecc. Alcuni di questi identificano un'appartenenza nazionale, .it per esempio sta per Italia, ma è comunque vero che dall'italia posso registrare un .de che sta per Germania. Il dominio di primo livello può esserci utile come avvisaia, se per esempio la nostra banca è sempre stata .com e ci arriva un email da Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo., possiamo insospettirci!
Dominio di secondo livello, la parte interessante. Il dominio di secondo livello sta a sinistra del punto che definisce il dominio di primo livello, nell'esempio https://www.google.com/, il dominio di secondo livello è google. Se ci arrivasse un email apparentemente da google, che ci rimanda ad un sito per verificare o cambiare la nostra password e questo sito avesse come Url https://www.google-security.com/google/login.php, dall'analisi notiamo che il dominio di primo livello è .com, quello di secondo sarebbe google-security... Ma il dominio di secondo livello dell'azienda che tutti conosciamo è solamente Google, non google-security, sembrerebbe un tentativo di Phishing!!
Escludendo www., come dicevamo all'inizio, nell'Url può esserci solo un . (punto), che identificherà dominio di primo e secondo livello. Nel caso trovassimo più punti, significherebbe che esistono domini di terzo livello, o sottodomini. I domini di terzo livello possono avere nomi "ufficiali", potrebbe capitarvi vi arrivino email, per esempio, che vi rimandano a siti web tipo https://subito.subito-profilo.it/login, in questo caso il tentativo di Phishing è più elaborato perchè in effetti leggiamo chiaramente SUBITO con dominio .it, sito che ben conosciamo, sembrerebbe affidabile. Ma no! Perchè il dominio di terzo livello non identifica l'azienda e non è univoco (cioè unico nel mondo), quindi dall'analisi deduciamo che il dominio di primo livello è .it (come il sito ufficiale), il dominio di secondo livello è subito-profilo! Che non c'entra con l'azienda Subito.it!, il terzo livello è subito, utilizzato appositamente per farci cadere in trappola!!!
Quindi... Verificate sempre l'autenticità del dominio di secondo livello!
Come descritto nella guida 1, la prima cosa da verificare è che il dominio email appartenga davvero all'azienda, ente, persona, ecc. Che sembrerebbe stia comunicando con noi.
Esiste però la possibilità di "spoofing" e cioè di assumere "l'aspetto" del mittente. E' possibile cioè inviare un email a nome di qualcun'altro forzando il servizio SMTP di un provider. In questo caso il mittente risulterà veritiero perchè assumerà, in apparenza, davvero le sembianze del dominio originale. Esistono tecniche di analisi degli HEADER dell'email per smascherare lo spoofing. Fate in modo di visualizzare l'header dell'email o il codice sorgente (dipende da quale software o sito web utilizzate, googlate relativamente a quale utilizzate per conoscere la vostra procedura).
Prendiamo come esempio un caso personale di email da parte di American/Express che mi avvisa del blocco della mia carta. Il gestore email che uso ha tra le opzioni "visualizza sorgente", voi potreste avere la stessa voce o mostra header/intestazioni. Dopo il click vi verranno mostrate svariate righe di strane informazioni, vi incollo la parte che ci interessa e che dovrete andare a ricercare:
Received: from smtpcmd13151.aruba.it ([62.149.156.151]) PUNTO 1
by smtp-20.iol.local with ESMTP
id JBXun6M7wCk67JBbXnhOLK; Sun, 13 Feb 2022 10:55:39 +0100
X-IOL-DMARC: Dominio 1star.it non supporta DMARC PUNTO 2
X-IOL-DKIM: pass con il dominio d=aruba.it
X-IOL-SPF: pass con l'IP 62.149.156.151;houseofgaming.it PUNTO 3
X-IOL-SEC: _SPFOK_DKIMOK_NODMARC_ENVFROMHEADDIFF
X-IOL-Original-Envfrom: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. PUNTO 4
x-fbsn: Aruba
x-libjamoibt: 2601
Received-SPF: pass
X-CNFS-Analysis: v=2.4 cv=dapFYVbe c=1 sm=1 tr=0 ts=6208d59b cx=a_exe
a=Spji9jSi/EzIF6ipJKhFeg==:117 a=RwfBuETsD2s9mbq8DCK8SA==:17
a=8nJEP1OIZ-IA:10 a=oGFeUVbbRNcA:10 a=5KLPUuaC_9wA:10 a=JcT1meiOAAAA:8
a=LTnJoiClAAAA:8 a=8GaHaEfba_aYbDBNrjwA:9 a=Dv9tFch8g4jGCAam:21
a=_W_S_7VecoQA:10 a=wPNLvfGTeEIA:10 a=-FEs8UIgK8oA:10 a=NWVoK91CQyQA:10
a=lURzaz3Opd2sGBZjEESM:22
Authentication-Results: smtp-20.iol.local;
dkim=pass header.d=aruba.it header.b=e9OyTpCM
Received: from smtp.houseofgaming.it ([62.11.53.145]) PUNTO 5
Osservate come al punto uno l'email risulti inviata da un servizio SMTP gestito da ARUBA, strano che un'azienda straniera come American/Express sia registrata su Aruba.it....
Al punto 2 vi viene addirittura specificato che il dominio dell'email è 1star.it, un'azienda che non ha nulla a che fare con American/Express e già solo questo basterebbe per cestinare il messaggio
Al punto 3 ci sta dicendo che l'smtp Aruba dal quale parte il messaggio è registrato a nome di houseofgaming.it... Bene, non è American/Express...
Punto 4, l'email dell'amministratore... @houseofgaming.it, ah quindi non lavora per American/Express
Infine punto 5 vi viene mostrato in chiaro e con indirizzo ip l'smtp sorgente, ancora houseofgaming.it...
Come avete notato in questo codice sorgente/intestazione non c'è alcun riferimento ad American/Express ma a tutt'altro dominio e aziende... Caso chiuso! Email cestinata.
Quante volte vi sono arrivate email da parte delle Poste, Banche, Amazon ecc ecc. In cui vi si chiedeva di verificare alcuni dati, vi si avvisava del blocco di un conto, una carta, un account, avvisi di commercialisti e avvocati, ecc ecc.
Esistono dei modi semplici e rapidi per verificare l'attendibilità e veridicità di queste email, presentiamo intanto il modo più semplice e rapido:
VERIFICA DEL DOMINIO.
Il dominio in un email è quella parte di indirizzo che viene dopo la @, es. Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo. ha come dominio gmail.com. Alcuni gestori di email non mostrano l'email del mittente chiaramente ma solo un Alias, solitamente è necessario cliccare in "mostra email" o "mostra intestazioni" o "mostra info" per visualizzare l'email completa e verificare il dominio dopo la @.
Recuperato il dominio ci basterà scriverlo sulla barra degli indirizzi del browser, come fosse un sito web, quindi nel caso di gmail ci basterà scrivere www.gmail.com o anche solo gmail.com, se verremo reindirezzati ad un sito web di google allora l'email è valida.
Per farvi un esempio, qualche giorno fa ricevo un email da intesa san paolo che mi avvisano del blocco dell'account. Clicco su mostra email e noto che il mittente è <Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.>, allora scrivo sulla barra degli indirizzi 1star.it per vedere di che sito web si tratti e mi comprare una pagina che mi avvisa di un errore al proprio database, non mi si apre un sito intesa san paolo... Dunque è sicuramente un email fake!
Potrebbe capitarvi però vi si apra davvero una pagina di intesa san paolo (o quale che sia il presunto mittente), a quel punto per essere ancora più sicuri verificate che l'url che vi viene mostrato nella barra degli indirizzi sia effettivamente quello ufficiale, googlate intesa san paolo e verificate che la prima parte dell'indirizzo sia la stessa, es. da google rilevo che il sito ufficiale è così composto nella prima parte https://www.intesasanpaolo.com/ mentre invece quello che mi si apre tramite il dominio email è https://www.intesa-sanpaolo.com/verifica come potete notare la prima parte, quella che va da SLASH a SLASH, quindi tra https:// ... .com/, da SLASH a SLASH, precisamente dai doppi slash al primo singolo slash che si presenta, è differente da quella mostrata tramite google che vi riporta al sito ufficiale 100%, quindi non vi fidate! E' sicuramente falso!