Gmail, phishing in agguato

Un bug hunter italiano scopre come malintenzionati potrebbero abusare del sistema di sicurezza di Gmail per trarre in inganno gli utenti con phishing, spam e quant'altro. Google Italia minimizza

Roma – Gli utenti Gmail sono tra i meno tartassati dalla spam sebbene non manchi talvolta un messaggio indesiderato o che si debba ripescare di quando in quando una missiva più che lecita, finita inspiegabilmente nel girone dei cattivi. Eppure, come spiega a Punto Informatico l’hacker italiano Alessio Porcacchia , sysadmin per Brandmail Solution , consulente Debian, anche in un servizio apparentemente sicuro come Gmail si annida qualche rischio.

Un esempio di email proveniente da indirizzo fasullo La scorsa settimana, Porcacchia aveva individuato un potenziale problema sulla piattaforma di posta di Google. Il server sembrava accettare email provenienti da qualsiasi dominio, anche se non esistente: “Eppure basta una entry mx sul DNS e un token di postifix affinché il server di posta rifiuti automaticamente la posta di uno spammer proveniente da un dominio inesistente”. Un problema, comunque, segnalato immediatamente agli admin di Gmail e subito risolto .

Per Porcacchia, però, la faccenda non finisce qui: “Secondo Google basta un Sender Policy Framework ( SPF ) vale a dire un record da aggiungere nella configurazione DNS del dominio con lo scopo di combattere teoricamente la contraffazione degli indirizzi email e individuare più facilmente i messaggi di spam”. Il problema è che, apparentemente, non sempre questo meccanismo sembra dimostrarsi efficiente : “Il funzionamento è basato sull’utilizzo più ampio possibile di tutti i gestori DNS: cosa che sembrerebbe non accadere, e che rende l’SPF poco efficace e facilmente aggirabile”.

Sebbene l’email in arrivo da un dominio noto o sconosciuto venga attentamente vagliata dal server di posta, le discrepanze tra l’effettiva provenienza della missiva, l’IP di partenza e l’indirizzo da mostrare nel client di posta, vengono in un certo senso ignorate: “L’SPF verifica soltanto l’indirizzo fornito nel campo mail from del protocollo SMTP – spiega Porcacchia – mentre non verifica mai gli indirizzi forniti nelle intestazioni del messaggio inviato. Un utente poco smaliziato nei normali client di posta vede soltanto l’indirizzo dall’intestazione from del messaggio, mentre non visualizza l’indirizzo verificato dal SPF dal campo mail from “.

Accade dunque che, se il campo mail from non passa la verifica del SPF, Gmail mostri comunque la missiva nella casella di posta : e lo fa mostrando come indirizzo del mittente quello indicato nel campo from , pur avendo verificato – come segnalato nell’ header completo – che questi due indirizzi non collimano e che l’IP di partenza non è valido: “Il metodo di filtraggio di Gmail funziona in molti casi, ma basterebbe un lamer con tanta voglia di perdere tempo e qualche botnet per ritrovarci una mattina con la casella inondata di posta indesiderata” avverte Porcacchia.

C'è posta da ebay?

Per Mountain View, si tratta di un problema di minore entità : come spiegato da Google Italia, in una nota inviata a Punto Informatico , “da quando è stata lanciata Gmail, abbiamo prestato particolare attenzione alla lotta contro gli abusi del sistema, attraverso la progettazione di strumenti utili ad individuare lo spam e prevenire azioni future”.

Il filtro anti-spam attuale è molto apprezzato: “Gmail consente agli utenti di segnalare i messaggi indesiderati come spam, e questi feedback vengono poi associati ad alcuni elementi che compongono l’infrastruttura del sistema di ricerca di Google”. Inoltre, prosegue la nota, “i nostri ingegneri sono costantemente al lavoro per migliorare il sistema anti spam: il risultato è che, rispetto all’incremento di spam su Internet che vediamo ogni giorno, gli utenti Gmail ne ricevono sempre meno nella loro casella di posta”.

D’altro avviso Porcacchia : “Pensiamo ad esempio ad un utente interessato ad un prodotto che perde un oggetto ad un asta: un malintenzionato potrebbe inviare una email sfruttando l’indirizzo del venditore, dichiarando che l’oggetto non è stato aggiudicato e rioffrendolo alla vittima ad un prezzo scontato. Chi riceve la email andrà a controllare l’header? Probabilmente no”. Il rischio è che si trovi invischiato in un caso di phishing ben orchestrato, nonostante il filtro antispam: “La mia speranza – conclude Porcacchia – è che Google risolva presto anche questa questione”.

a cura di Luca Annunziata

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Mauro scrive:
    Italia
    In italia, noto paese del quarto mondo, non sarebbe mai successo...Vedi donna.it registrato da me e poi rubato dai potentati economici che registrano marchi illegali !
  • Nilok scrive:
    Business virtuali...
    Ave.Non sarebbe meglio se i domini avessero una "scadenza di tempo" determinata dall'inutilizzo?Altrimenti, oggi, SOLO chi ha tanti soldi da investire può permettersi di comprare domini in numero sufficiente da poi essere in grado di rivenderseli...Comunque COMPLIMENTI per la lungimiranza di Clark!A prestoNilok
  • Abydos scrive:
    ma è cybersquatting o no?
    insomma... non capisco se sia o non sia cybersquatting
    • visionx scrive:
      Re: ma è cybersquatting o no?
      no, non e' cybersquatting : pizza e' un nome comune non un marchio registrato o un nome di persona.
  • Masque scrive:
    soldi facili
    gran modo per guadagnare una valanga di soldi non facendo una sega e non dando alcun contributo utile alla società.avrei dovuto pensarci anch'io per tempo.
    • babaz scrive:
      Re: soldi facili
      il tuo commento fa molto "la volpe e l'uva"dubito avresti anche solo pensato un concetto del genere se fosse toccata a te questa "fortuna"
      • Masque scrive:
        Re: soldi facili
        - Scritto da: babaz
        il tuo commento fa molto "la volpe e l'uva"
        dubito avresti anche solo pensato un concetto del
        genere se fosse toccata a te questa
        "fortuna"il mio commento era ovviamente sarcarstico e comunque assolutamente non ci avrei mai pensato a fare una cosa simile, perché è al di là della mia morale. si tratta semplicemente di lucrare sul nulla assoluto senza portare alcuno contributo alla società.
    • unaDuraLezione scrive:
      Re: soldi facili
      contenuto non disponibile
  • Miss K Lorina scrive:
    Che al cambio attuale...
    ...quanto fanno? 15 euro e 50?
    • babaz scrive:
      Re: Che al cambio attuale...
      no, sono "solo" 1,6 milioni di euroo 3 miliardi delle vecchie lireoppure, tradotto: vivere in modo agiato il resto della propria vitanon male, no?
      • anonimo scrive:
        Re: Che al cambio attuale...
        era una battuta riferita al valore del dollaro in questi ultimi tempi...
      • sam scrive:
        Re: Che al cambio attuale...
        - Scritto da: babaz
        no, sono "solo" 1,6 milioni di euro
        o 3 miliardi delle vecchie lire

        oppure, tradotto: vivere in modo agiato il resto
        della propria
        vita

        non male, no?Non è vero che vivi in modo agiato per il resto della tua vita.Prendi ad esempio un direttore di un giornale medio, quindi non parlo di un miliardario ma di uno che fa una vita agiata, prende più o meno 10'000 euro al mese. Quindi 1,6 milioni di euro valgono più o meno 14-16 anni di vita agiata.Altro discorso se li reinveste, però quando uno investe non è detto che le cose filino per il verso giusto. Guarda per esempio alcuni ex sportivi tipo Baresi, Maradona, Borg, Tyson ecc... erano multimiliardari e ora non lo sono più.
        • quoto scrive:
          Re: Che al cambio attuale...
          - Scritto da: sam
          Altro discorso se li reinveste, però quando uno
          investe non è detto che le cose filino per il
          verso giusto. Guarda per esempio alcuni ex
          sportivi tipo Baresi, Maradona, Borg, Tyson
          ecc... erano multimiliardari e ora non lo sono
          più.Insomma sto tipo è proprio uno sfigato?Ah be si hai ragione, mi hai convinto ora se fosse toccato a me starei chiedendo l'elemosina per sopravvivere
        • MircoM scrive:
          Re: Che al cambio attuale...
          suvvia... se vai in una banca con 1.6 M euro vuoi che non ti diano *almeno* un 3% di interesse? (e sto ovviamente considerando cifre decisamebte basse).fanno 48.000 euro all'anno, pari a 4000 euro al mese, che escono dal nulla, senza rischiare niente, e lasciando intatti i 1.6 M euro in banca (quindi ipoteticamente per l'eternità). e sempre pensando mooolto per difetto.direi che non se la passa male.
          • gianni a scrive:
            Re: Che al cambio attuale...
            - Scritto da: MircoM
            suvvia... se vai in una banca con 1.6 M euro vuoi
            che non ti diano *almeno* un 3% di interesse? (e
            sto ovviamente considerando cifre decisamebte
            basse).

            fanno 48.000 euro all'anno, pari a 4000 euro al
            mese, che escono dal nulla, senza rischiare
            niente, e lasciando intatti i 1.6 M euro in banca
            (quindi ipoteticamente per l'eternità). e sempre
            pensando mooolto per
            difetto.

            direi che non se la passa male.che con la fantastica inflazione al 3,3% che abbiamo, è piuttosto vantaggioso un 3% di interesse no?
          • Pippo scrive:
            Re: Che al cambio attuale...
            Se sei bravo arrivano fino al 5% di interessi! Magari anche qualcosa in più ;o)
        • Brikem up scrive:
          Re: Che al cambio attuale...
          Un milione e mezzo di euro è più di quanto io possa guadagnare,pensione compresa, in tutta la mia vita. A me basterebbero, farei la stessa vita che faccio adesso o un po' migliore senza lavorare e senza esagerare e ne avanzerebbero anche per gli eredi.
          • Masque scrive:
            Re: Che al cambio attuale...
            - Scritto da: Brikem up
            Un milione e mezzo di euro è più di quanto io
            possa guadagnare,pensione compresa, in tutta la
            mia vita. A me basterebbero, farei la stessa vita
            che faccio adesso o un po' migliore senza
            lavorare e senza esagerare e ne avanzerebbero
            anche per gli
            eredi.infatti, è confortante scoprire che un pizza.com qualunque, vale più della tua intera vita di lavoroe c'è anche chi applaude il "furbo" e che è lieto che siano possibili tali genere di manovre.
        • battagliacom scrive:
          Re: Che al cambio attuale...
          si però non è che io i soldi li rifiuto... potrebbero essere anche molto meno ma io non li rifiuterei.
      • ba1782 scrive:
        Re: Che al cambio attuale...
        Magari si riferiva al prezzo del dominio pagato nel '90..!Se è quello, sono 12.75 attualmente :D
    • MircoM scrive:
      Re: Che al cambio attuale...
      hai sbagliato solo di 5 ordini di grandezza.
Chiudi i commenti