Come analizzare un’e-mail sospetta

Se ricevete un’e-mail di sospetta autenticità, analizzatela voi stessi. Ecco come.

I segni del phishing possono essere ovvi, una mancata corrispondenza tra l’indirizzo del mittente e quello della sua presunta azienda, incongruenze logiche, notifiche che sembrano provenire da servizi online, ma individuare un falso non è sempre così facile. Un modo per rendere un falso più convincente è quello di manomettere il campo visibile che contiene l’indirizzo e-mail.

La tecnica è abbastanza rara nei casi di phishing di massa, ma la vediamo abbastanza spesso nella messaggistica mirata. Se un messaggio sembra reale, ma dubitate dell’autenticità del mittente, provate a scavare un po’ più a fondo e a controllare l’intestazione Ricevuti. Questo post vi spiega come.

Ragioni per dubitare

Qualsiasi richiesta strana è un chiaro campanello d’allarme. Per esempio, un’e-mail che vi chiede di fare qualcosa al di fuori delle vostre competenze lavorative o di eseguire qualsiasi azione non standard significa dover stare più attenti, specialmente se pretende di essere importante (richiesta personale del CEO!) o urgente (deve essere pagato entro due ore!). Questi sono trucchi standard di phishing. Dovreste anche essere prudenti se vi viene chiesto di:

  • Seguire un link nell’e-mail verso un sito esterno che richiede le vostre credenziali o informazioni di pagamento;
  • Scaricare e aprire un file (in particolare un file eseguibile);
  • Eseguire azioni relative a trasferimenti monetari o all’accesso a sistemi o servizi.

Come trovare le intestazioni delle e-mail

Sfortunatamente, il campo visibile da è facile da falsificare. L’intestazione che appare in arrivo, invece, dovrebbe mostrare il vero dominio del mittente. Potete trovare questa intestazione in qualsiasi client di posta. Qui, stiamo usando Microsoft Outlook come esempio a causa del suo uso diffuso nel business moderno. Il processo non dovrebbe essere molto diverso in altri client, comunque, se ne usate uno differente potete consultare la documentazione di aiuto o provare a trovare gli header in autonomia.

In Microsoft Outlook:

  1. Aprite il messaggio che volete controllare con un doppio clic;
  2. Nella scheda Proprietà, selezionate File;
  3. Nella finestra che si apre, trovate il campo Ricevuto nella sezione Intestazioni Internet.

Prima di raggiungere il destinatario, un’e-mail può passare attraverso più di un nodo intermedio, quindi potreste vedere diversi campi nei Ricevuti. Scorrete in basso, in genere è lì che si trova l’header che contiene informazioni sul mittente originale. Dovrebbe assomigliare a qualcosa del genere:

E-mail header ricevuta

Come controllare il dominio dall’intestazione dei Ricevuti

Il modo più semplice per utilizzare l’intestazione Ricevuti è usare il nostro Threat Intelligence Portal. Alcune delle sue caratteristiche sono gratuite, il che significa che potete usarle senza registrarvi.

Per controllare l’indirizzo, copiatelo, andate su Threat Intelligence Portal di Kaspersky, incollatelo nella casella di ricerca della scheda Lookup e cliccate su Look up. Il portale restituirà tutte le informazioni disponibili sul dominio, la sua reputazione e i dettagli WHOIS. L’output dovrebbe essere simile a questo:

Informazioni sul Threat Intelligence Portal di Kaspersky

La prima riga mostrerà probabilmente un verdetto “Buono” o “Uncategorized”. Questo significa solo che i nostri sistemi non rilevato in precedenza che questo dominio sia stato usato per scopi criminali. Quando si prepara un attacco mirato, i criminali informatici possono registrare un nuovo dominio o utilizzare un dominio legittimo violato con una buona reputazione. Controllate attentamente l’organizzazione a cui è registrato il dominio per vedere se corrisponde a quella che il mittente presumibilmente rappresenta. Un dipendente di un’azienda partner in Svizzera, per esempio, è improbabile che invii un’e-mail attraverso un dominio sconosciuto registrato in Malesia.

Per inciso, vi raccomandiamo di usare il nostro portale per controllare anche i link nell’e-mail, se vi sembrano sospetti, e usare la scheda Analisi dei file per controllare gli allegati del messaggio.

Il Threat Intelligence Portal di Kaspersky ha molte altre funzioni utili, ma la maggior parte sono disponibili solo per gli utenti registrati. Per maggiori informazioni sul servizio, andate sulla scheda About the Portal.

Protezione contro il phishing e le e-mail dannose

Anche se controllare le e-mail sospette è importante, evitare che le e-mail di phishing raggiungano gli utenti finali è ancora meglio. Pertanto, consigliamo sempre di installare soluzioni antiphishing a livello di server di posta aziendale.

Inoltre, una soluzione con protezione antiphishing in esecuzione sulle workstation bloccherà i reindirizzamenti attraverso link di phishing, nel caso in cui i creatori di e-mail ingannino il destinatario.

Consigli