© 2005-2006 Paolo Attivissimo. Some rights reserved (alcuni diritti riservati).
Prima versione: 19/3/2005. Ultimo aggiornamento: 15/10/2006.
An English version of this page is available.
Il 19 marzo 2005 sono stato attaccato da uno spammer, che ha usato il mio indirizzo topone@pobox.com come falso mittente dei suoi messaggi, secondo una tecnica chiamata spoofing. La cosa si è ripetuta alcuni giorni dopo, e il 31 marzo 2005 c'è stato un terzo attacco ai danni degli altri miei indirizzi pattivis@tin.it e paolo.attivissimo@gmail.com. Questa pagina fornisce informazioni sul primo di questi attacchi.
Gli attacchi sono stati personali e mirati: i miei indirizzi non sono stati presi a caso, come capita spesso, ma sono stati scelti con l'ambizione (fallita) di far passare me per uno spammer, farmi entrare nelle "liste nere" dei servizi antispam, e impedirmi di comunicare con amici, lettori e clienti di lavoro. Per fortuna, la splendida collaborazione dei sorveglianti della Rete ha impedito che questo accadesse.
Pubblico qui un po' di informazioni in proposito in modo che tutti possano sapere cos'è successo realmente e perché credo possano essere interessanti come metodo generale di analisi dello spam e delle intestazioni dei messaggi di posta allo scopo di sapere se il mittente è falsificato o autentico.
Anche se non sono responsabile di questi attacchi, vorrei scusarmi per gli eventuali disagi che vi possono aver causato.
Il 19 marzo 2005, verso le 22 ora italiana, mi ritrovo nella casella di posta circa un migliaio di e-mail, provenienti da vari server di posta, che mi avvisano che il destinatario di un mio messaggio ha la casella di posta piena.
Qui sotto ne trovate un esempio: ho soltanto asteriscato l'indirizzo del destinatario (per chiarezza, premetto che la mia casella topone@pobox.com punta su pattivis@tin.it).
- These recipients of your message have been processed by the mail server:
*******@libero.it; Failed; 5.2.2 (mailbox full)
Remote MTA ims4a.libero.it: SMTP diagnostic: 552 RCPT TO:<*****@libero.it> Mailbox disk quota exceeded
Reporting-MTA: dns; smtp6.libero.it
Received-from-MTA: dns; [213.73.149.120] (213.73.149.120)
Arrival-Date: Sat, 19 Mar 2005 22:11:12 +0100
Final-Recipient: rfc822; *****@libero.it
Action: Failed
Status: 5.2.2 (mailbox full)
Remote-MTA: dns; ims4a.libero.it
Diagnostic-Code: smtp; 552 RCPT TO:<*****@libero.it> Mailbox disk quota exceeded
Il messaggio d'avviso include anche una parte dell'e-mail che ho apparentemente inviato ed è stato respinto:
Return-Path: <topone@pobox.com>
Received: from [213.73.149.120] (213.73.149.120) by smtp6.libero.it (7.0.027-DD01)
id 41C1542F0E174FD3; Sat, 19 Mar 2005 22:11:12 +0100
Reply-To: <topone@pobox.com>
From: "WEBMASTER" <topone@pobox.com>
Subject: WEBSITE GVKHNPNYUG
Date: Sat, 19 Mar 2005 21:11:04 +0300
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-2"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Questo mi conferma oltre ogni dubbio che non sono io il mittente del messaggio: io non uso, e non ho mai usato, Outlook Express (se lo volete sapere, all'epoca usavo Thunderbird su Mac; ora uso Mail 2.0 su Mac). Inoltre l'argomento del messaggio è chiaramente di tipo spammatorio (come indica la sequenza di lettere a caso, un espediente di tracciamento usatissimo dagli spammer).
La cosa curiosa è che praticamente tutti questi messaggi provengono da un unico provider: Libero.it. Inoltre gli indirizzi sembrano prodotti da un generatore automatico, altro tipico strumento degli spammer e dei virus. Infatti inizialmente sospetto che si tratti di un nuovo virus in circolazione, che ha usato il mio indirizzo come falso mittente (capita): ma poi trovo alcuni messaggi di risposta da altri server (Interbusiness.it e Tiscali.it) che allegano il messaggio che avrei mandato (ma che sicuramente non ho mandato). Eccone un esempio (la parte in grassetto):
This Message was undeliverable due to the following reason:
The user(s) account is temporarily over quota.
<******@cgi.interbusiness.it>
Please reply to Postmaster@cgi.interbusiness.it
if you feel this message to be in error.
Reporting-MTA: dns; fep06.flexmail.it
Arrival-Date: Sat, 19 Mar 2005 22:16:12 +0100
Received-From-MTA: dns; vmx15.multikabel.net (212.127.254.144)
Final-Recipient: RFC822; <*****@cgi.interbusiness.it>
Action: failed
Status: 4.2.2
Subject: WEBSITERSVOGCHQPS
From: "WEBMASTER" <topone@pobox.com>
Date: Sat, 19 Mar 2005 21:16:50 +0300
*******************
THE MOST BEAUTIFUL WEBSITE ON THE INTERNET
http://www.attivissimo.net/
******************
QYHMDNFTHJQGBLIFZSWRLLGZPSUDHQTCWBYXZM
Questo spiega molte cose: è un attacco personale. Qualcuno manda in giro una squallidissima "pubblicità" riguardante il mio sito e falsifica il mittente spacciandosi per me. Lo scopo, presumibilmente, è farmi passare per uno spammer e quindi mettermi nelle liste nere dei sistemi antispam, rendendomi difficile la distribuzione della mia newsletter e le comunicazioni di lavoro.
È un tentativo piuttosto futile, dato che ho comunque molti indirizzi di riserva: per cui vale la pena di approfittarne come esercizio di analisi di un attacco.
A questo punto, i messaggi di "casella piena" sarebbero spiegabili nel senso che proverrebbero da caselle che erano già piene per altri motivi. In pratica, lo spammer/aggressore avrebbe spammato molto più di mille indirizzi: le caselle non piene avrebbero ricevuto il messaggio-spam senza problemi, mentre le caselle già piene avrebbero generato il messaggio di errore che ho ricevuto.
La sequenza casuale di lettere a fine messaggio, tipica dei messaggi degli spammer, è uguale in tutti i messaggi e quindi è stata creata a mano. Questo farebbe pensare a una persona che non è uno spammer professionista: un professionista avrebbe messo una sequenza diversa generata automaticamente in ciascun messaggio.
Gli header completi del messaggio spammatorio contengono alcuni indizi di ulteriore dilettantismo, evidenziati in grassetto:
Received: from mail-mx-int-1.tiscali.com ([10.39.115.250]) by root-front2-priv2.tiscali.com with Microsoft SMTPSVC(6.0.3790.211);
Sat, 19 Mar 2005 22:17:13
Received: from mail-mx-2.tiscali.it (213.205.33.32) by mail-mx-int-1.tiscali.com (7.2.034.7)
id 4219C0EA00543FDA for info@it.tiscali.com; Sat, 19 Mar 2005 22:17:13
Received: from vmx10.multikabel.net (212.127.254.136) by mail-mx-2.tiscali.it (7.2.034.7)
id 421AE619030E0647 for info@it.tiscali.com; Sat, 19 Mar 2005 22:17:13
Received: from vmx90.multikabel.net ([212.127.254.146])
by vmx10.multikabel.net with esmtp (Exim 4.44)
id 1DClJn-0002yB-KM
for info@tiscali.it; Sat, 19 Mar 2005 22:17:11
Received: from attivissimo (213-73-149-120.cable.quicknet.nl [213.73.149.120])
by vmx90.multikabel.net (8.12.10/8.12.8) with SMTP id j2JLGWhr014315;
Sat, 19 Mar 2005 22:16:34
Message-Id: <200503192116.j2JLGWhr014315@vmx90.multikabel.net>
Reply-To: <topone@pobox.com>
From: "WEBMASTER"<topone@pobox.com>
Date: Sat, 19 Mar 2005 21:16:50
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-2"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
X-MultiKabel-MailScanner-Information: Please contact helpdesk@quicknet.nl for more information
X-MultiKabel-MailScanner: Found to be clean
X-MultiKabel-MailScanner-SpamCheck:
Subject: WEBSITERSVOGCHQPS
X-MultiKabel-MX-MailScanner-Information: Please contact helpdesk@quicknet.nl for more information
X-MultiKabel-MX-MailScanner: Found to be clean
X-MultiKabel-MX-MailScanner-SpamCheck:
X-MailScanner-From: topone@pobox.com
Bcc:
Return-Path: topone@pobox.com
X-OriginalArrivalTime: 19 Mar 2005 21:17:13.0257 (UTC) FILETIME=[04EC4990:01C52CC9]
Lo spammer/aggressore ha pensato di simulare la mia identità online usando attivissimo come nome del computer (hostname), ma non sono così vanesio: l'hostname è sbagliato. Per evitare quest'errore, allo spammer sarebbe stato sufficiente guardare qualsiasi messaggio realmente proveniente dalla mia casella di posta per sapere quale hostname uso (o perlomeno quale faccio vedere nella posta). Come dicevo, l'aggressore ha inoltre simulato Outlook Express, che non è il mio client di posta (me ne guardo bene).
Questo rende molto facile distinguere il messaggio spammatorio da quelli autentici. In più c'è un altro indizio sbadatamente lasciato dall'aggressore, che permette di dargli un nome con ragionevole certezza. Ma a questo arrivo tra poco.
Parlando più in generale, gli header di un messaggio contengono la storia del suo percorso (oltre a molte altre informazioni) e, anche se sono alterati come spesso fanno gli spammer, permettono di risalire al mittente.
Il percorso è documentato dalle righe che iniziano con Received, in ordine inverso, ossia dall'ultima tappa verso la prima. Quindi la prima riga Received indica il server di posta incontrato per ultimo, mentre l'ultima riga Received rivela il primo server dal quale è passato il messaggio e quindi la sua origine, compreso l'indirizzo IP del computer del mittente. In queste righe, From indica il server che trasmette il messaggio e By il server che lo riceve a ogni tappa del percorso.
In questo caso, quindi, il messaggio è partito dall'indirizzo IP 213.73.149.120, appartenente al provider olandese Quicknet.nl, affiliato a Multikabel.net, che ho già contattato per avvisare dell'abuso (mi ha risposto che ha diffidato l'utente sotto pena di disconnessione).
In this case, therefore, the message originated from the IP address 213.73.149.120, which belongs to the Dutch provider Quicknet.nl, an affiliate of Multikabel.net. I have already contacted the provider to warn about the abuse (they replied that they have sent a disconnect notice to their user).
E' chiaro insomma che il messaggio è partito da un computer situato in Olanda. Tuttavia quel computer potrebbe essere stato controllato da un altro luogo, magari ad insaputa del suo proprietario ("zombificato", come si dice in gergo), e usato come involontario "trampolino" di questa campagna di spam. Ma nel caso specifico dell'indirizzo IP 213.73.149.120, una ricerca in Google sembra indicare che si tratta di un proxy, ossia di un computer volutamente controllabile dall'esterno.
Ed è probabilmente così che è andata. Infatti c'è un dettaglio curioso nell'header di un altro avviso di posta respinta generato da questo attacco spammatorio (nel quale ho asteriscato io il destinatario):
Received: from vmx55.multikabel.net ([212.127.254.145])
by fepcert01-svc.flexmail.it with ESMTP
id <20050319211702.ENSE9237.fepcert01-svc.flexmail.it@vmx55.multikabel.net>
for <********@interbusiness.it>;
Sat, 19 Mar 2005 22:17:02 +0100
Received: from vmx90.multikabel.net ([212.127.254.146])
by vmx55.multikabel.net with esmtp (Exim 4.44)
id 1DClJc-0004CD-4p
for *******@interbusiness.it; Sat, 19 Mar 2005 22:17:00 +0100
Received: from attivissimo (213-73-149-120.cable.quicknet.nl [213.73.149.120])
by vmx90.multikabel.net (8.12.10/8.12.8) with SMTP id j2JLGWhr014315;
Sat, 19 Mar 2005 22:16:34 +0100
Message-Id: <200503192116.j2JLGWhr014315@vmx90.multikabel.net>
Reply-To: <topone@pobox.com>
From: "WEBMASTER"<topone@pobox.com>
Date: Sat, 19 Mar 2005 21:16:50 +0300
Lo vedete? E' nell'ultima riga: la differenza di fuso orario ("+0300"). Nei server di posta, l'orario viene indicato riportando anche la differenza di fuso orario rispetto a quello di Greenwich (GMT). L'Olanda, come l'Italia, è avanti di un'ora rispetto al GMT, per cui i server di Multikabel.net e quelli di Interbusiness.it indicano correttamente "+0100". Ma l'ultima riga indica un fuso orario diverso.
E' un dettaglio interessante perché "+0300" è la differenza di fuso orario che indicano, per esempio, i computer che usano l'ora di Mosca. Ci sono molte altre località in quello stesso fuso orario, ma parlo di Mosca per una ragione ben precisa: il computer di Valentin Mikhaylin, un truffatore sbugiardato dal mio Servizio Antibufala, usa l'ora di Mosca (lo vedo dagli header dei messaggi che mi manda).
Proprio il 19 marzo 2005 c'è stato fra me e lui un vivace scambio di e-mail dopo un periodo di silenzio. Gli altri attacchi si sono verificati subito dopo la mia pubblicazione di approfondimenti d'indagine sul suo caso. Considerato che so per certo, dai log del mio sito, che Valentin legge ossessivamente (anche 130 volte in un mese) le mie pagine che lo riguardano, sembra improbabile che si tratti di una semplice coincidenza.
Spero che questa piccola indagine antispam sia stata interessante. Se avete dettagli da aggiungere o correzioni da fare, sapete dove scrivermi.
Il 31 dicembre 2005 ho pubblicato un articolo di aggiornamento sulla nuova tecnica di social engineering usata da uno spammer, Valentin Mikhaylin, per tentare di autenticare i suoi messaggi-truffa.
Poche ore dopo la pubblicazione, ho ricevuto circa 2500 e-mail riguardanti tentate iscrizioni a mailing list di tutti i generi, accompagnati dalla dicitura "stupid gay Ativisimo" [sic].
Altri messaggi, inviati alle caselle di abuse di vari provider usando il mio indirizzo come mittente apparente, contengono questo testo tragicomicamente divertente:
"Dear Internet Users: I wish you a Happy New Year 2006! Please send any banknote to my address and it will stop my old dishonest wife to leave me alone and go to the rich black man."
Traduco per chi non ha dimestichezza con l'inglese:
"Cari utenti Internet, vi auguro felice anno nuovo 2006! Per favore mandate qualsiasi banconota al mio indirizzo, così la mia vecchia e disonesta moglie smetterà di lasciarmi da solo e di andare all'uomo nero ricco"
Il messaggio era seguito dal mio indirizzo di casa (la cosa non mi sorprende né allarma: è un dato facilmente reperibile in Rete).
Ovviamente ho prontamente cestinato il tutto senza alcun problema: sono abituato ad attacchi ben più professionali, e i responsabili degli abuse non si fanno ingannare da trucchetti così miseri. Ne parlo qui in modo che Google indicizzi le parole-chiave del messaggio fasullo, così chi cerca informazioni sul mio caso per sapere se sono uno spammer o no può trovarle facilmente.
Desidero ringraziare MDT e walter per aver snidato alcuni errori e refusi di quest'indagine, i membri dei newsgroup di abuse e sorveglianza della Rete che hanno pubblicato avvisi di non mettermi in "lista nera", e Paypal.com e Pobox.com per la loro ottima gestione di quest'attacco.