Di recente diversi miei clienti su https://www.4host.ch mi hanno contattato riferendomi di una email che hanno ricevuto, su una o più caselle di posta e dove presunti “hackers” hanno preso possesso del loro account email.
Per chiarire meglio cosa è successo vi aiutiamo meglio a capire come interpretare le vostre email, dove potete voi stessi verificare l’origine della email e quindi l’ip da dov’è stata inviata la email, procedendo con ordine, voglio prima rassicurarvi che non vi è assolutamente alcun pericolo per la vostra casella di posta (qualsiasi essa sia: bluewin, gmail, vostrodominio, ecc..
Devo preoccuparmi se ricevo una email dove mi viene richiesto di pagare altrimenti mi cancellano i dati o fanno altri danni?
Ecco che non dovete preoccuparvi assolutamente in quanto è semplicissimo inviare una email facendo sembrare che il mittente sia proprio la vostra casella di posta! Ma così non è!
La tecnica utilizzata è semplicemente quella di cambiare il from (mittente) con un semplicissimo form html, le skills richieste sono quelle di un principiante in html e php.
Ad ogni modo la email si presenta più o meno in questa maniera:
Hello!
I’m a member of an international hacker group.
As you could probably have guessed, your account info@aid-web.ch was hacked, because as I messaged you from your account. On moment of infection info@aid-web.ch was this password:
Within a period from November 22, 2018 to May 14, 2019, you were infected by the virus we’ve created, through an adult website you’ve visited. So far, we have access to your messages, social media accounts, and messengers. Moreover, we’ve gotten full dumps of these data.
We are aware of your little and big secrets…yeah, you do have that. We saw and recorded your doings on porn websites. Your tastes are so weird, you know..
But the key thing is that sometimes we recorded you with your webcam, syncing the recordings with what you watched! I think you are not interested show this video to your friends, relatives, and your intimate one…
Transfer $799 to my Bitcoin wallet: 1DMnzmuVegUZhrWsEqxRZyw63u1vF5NXF5 I guarantee that after that, we’ll erase all your “data”!
A timer will start once you read this message. You have 48 hours to pay the above-mentioned amount.
Your data will be erased once the money are transferred. If you do not pay, all dumps of your messages and videos recorded will be automatically sent to all your contacts found on your devices for this moment. Also, the operating system of your device will be suspended.
You should always think about your security. We hope this case will teach you to keep your secrets.
Bye!
Senza entrare troppo nel dettaglio vogliono far credere al destinatario, che hanno hackerato la vostra email e che così facendo hanno scoperto segreti a voi scomodi dove avreste visitato siti web pornografici e dove vi minacciano che se non pagate un certo importo cancelleranno il contenuto delle vostre email, i vostri account social e i messaggi di messenger.
Inutile dire che si tratta di una truffa e vi raccomandiamo assolutamente di non dare seguito, fra l’altro io l’ho ricevuta come spam e solo per spiegare ai miei clienti (essendo che ho un’azienda di hosting: https://www.4host.ch) ho dovuto giustamente spiegare a tutti i miei clienti che la email è una vera truffa ed ora vi spiego come fare a capire come identificare e sapere da dove arriva la truffa:
Come faccio a sapere se si tratta di una truffa? Dove posso vedere da dov’è stata originata la email?
Forse per molti di voi che come me non hanno la webcam, il problema già non si pone sul nascere e per me è stato già quello il segnale della truffa in quanto non avendola e non usandola, ho un mac pro ma lo uso solo per fare musica e pochissimo per navigare su internet.
Fino ad ora abbiamo già 2 incongruenze: La prima che non dispongo la webcam, la seconda che la email è andata direttamente nello spam. Questo è già sinonimo di truffa.
Mentre per la verifica dell’origine della email è sufficiente controllare l’header (intestazione) della email (nel mio caso se apro la mia webmail) su roundcube trovo l’icona a discesa sulla destra, che mi permette di vedere il contenuto dell’intestazione e dove vedo anche il numero IP del mittente.
Come dimostra l’immagine di seguito:
Come ben visibile da immagine qua sopra, è evidente che l’ip: 105.157.80.121 non corrisponde all’ip del mio server di posta nominato: server5.hostingedominio.ch che ha come ip: 95.183.48.20 , si tratta quindi chiaramente di un tentativo di far credere che l’email provviene dal vostro server di posta quando l’ip 105.157.80.12 non risiede nemmeno in Svizzera ma arriva dal Marrakesh in Marocco:
https://ipaddress.is/105.157.80.136
Ora dimostrato l’atto di truffa, sarebbe possibile per chiunque fare una denuncia contro ignoti, fornendo con una denuncia in polizia, l’ip in questione dove questi ultimi dovranno fare le indagini necessarie per individuare i malviventi che tentano di raggirare le persone e truffarle facendo leva su informazioni fasulle e non veritiere, come vi ho appena dimostrato qua sopra.
Ora realisticamente l’ip può trattarsi di un server proxy o di una vpn e potrebbe non trattarsi del reale originario o creatore dell’email truffa, sarà comunque di competenza delle autorità valutare ed indagare sull’origine reale e qundi di scovare chi ha commesso questo tentativo di truffa ai vostri danni.
Sperando di aver fatto chiarezza su quest’argomento, questa tecnica è valida per qualsiasi email che ricevete, dove vedendo l’ip originato, saprete se davvero è stato il vostro di server ad averlo originato oppure se in realtà è altrove, come nel caso qua sopra si è trattato di una postazione in Marocco.