Ogni giorno riceviamo email che sembrano provenire da banche, corrieri, social network o servizi online. Alcune sono autentiche, altre sono tentativi di phishing progettati per rubare password, dati personali o installare malware.
Molti utenti controllano solo il nome del mittente, ma questo non basta: un messaggio può sembrare inviato da “Amazon” o “Poste Italiane” pur provenendo da server sconosciuti o da siti clone.
In questa guida vedremo come:
verificare il vero mittente di una email;
controllare l’IP reale del server che l’ha inviata;
identificare link falsi e siti mirror;
usare strumenti liberi e open source;
effettuare controlli sia da interfaccia grafica che da terminale Linux.
1. Controllare il vero mittente della email
Il nome visualizzato nella casella di posta può essere falsificato facilmente.
Esempio:
Amazon Support <supporto-clienti@amazon-verifica-security.com>
amazon.it o amazon.com.Bisogna quindi verificare:
l’indirizzo completo del mittente;
il dominio;
gli header della email.
2. Visualizzare gli header completi
Gli header contengono il percorso reale seguito dal messaggio.
Ogni client email permette di visualizzarli.
Thunderbird (software libero)
Mozilla Thunderbird
In Thunderbird:
Alt → Visualizza → Sorgente del messaggio
Ctrl + UWebmail Gmail
Aprire il messaggio → menu con i tre puntini → “Mostra originale”.
3. Capire gli header principali
Negli header ci sono alcune righe fondamentali.
Return-Path
Indica il vero indirizzo usato dal server mittente.
Esempio:
Return-Path: <mailer@paypal.com>
Received
Mostra i server attraversati dal messaggio.
Le righe si leggono dal basso verso l’alto.
Esempio:
Received: from unknown.host.ru (185.xxx.xxx.xxx)
SPF, DKIM e DMARC
Questi sistemi verificano se il dominio è autorizzato a inviare email.
Esempio:
SPF: PASSDKIM: PASSDMARC: PASS
FAILSOFTFAILNONE
la mail potrebbe essere falsificata.
4. Verificare l’IP reale del mittente da terminale
Su Linux è possibile analizzare rapidamente gli header.
Supponiamo di aver salvato il messaggio in mail.eml.
Estrarre gli IP
grep "Received:" mail.eml
grep -Eo '([0-9]{1,3}\.){3}[0-9]{1,3}' mail.emlGeolocalizzare un IP
Con whois:
whois 185.xxx.xxx.xxx
oppure:
curl ipinfo.io/185.xxx.xxx.xxx
Se il server risulta in un paese inatteso rispetto al mittente dichiarato, conviene approfondire.
5. Controllare il dominio reale
Un trucco molto usato consiste nell’utilizzare domini simili:
paypaI.com
La “I” maiuscola può sembrare una “l”.
Oppure:
amazon-security-check.com
che non ha alcun legame con Amazon.
Verificare il dominio con WHOIS
Da terminale:
whois dominio.com
Controllare:
data di registrazione;
paese;
provider;
eventuali dati sospetti.
Un dominio creato da pochi giorni è spesso un forte segnale di phishing.
6. Attenzione ai siti mirror e clonati
Molte email rimandano a copie quasi perfette di siti reali.
Spesso:
cambiano solo poche lettere nel dominio;
usano HTTPS per sembrare affidabili;
copiano loghi e grafica originali.
Esempi tipici
poste-italiane-login.com
paypal-security-check.netamazon-accountverify.org7. Come controllare un link senza aprirlo
Dal browser
Passare il mouse sopra il link senza cliccare.
In basso comparirà l’URL reale.
Da terminale
Con curl:
curl -I https://dominio-sospetto.com
Per vedere eventuali redirect:
curl -IL https://dominio-sospetto.com
8. Software liberi utili
Mozilla Thunderbird
Client email open source con ottimi strumenti di analisi degli header.
Sito ufficiale: Mozilla Thunderbird
ClamAV
Antivirus open source disponibile anche su Linux.
Permette di analizzare allegati sospetti.
Sito ufficiale: ClamAV
Wireshark
Analizzatore di rete molto potente per utenti avanzati.
Può aiutare a controllare connessioni sospette.
Sito ufficiale: Wireshark
SpamAssassin
Sistema open source per il filtraggio antispam.
Sito ufficiale: Apache SpamAssassin
9. Regole pratiche per proteggersi
Non cliccare subito
Anche se il messaggio sembra urgente:
“account sospeso”;
“pagamento rifiutato”;
“clicca entro 24 ore”.
Sono tecniche psicologiche molto usate nel phishing.
Non aprire allegati sospetti
Particolare attenzione a:
.zip.exe.scr.js.docmxlsm
Verificare sempre il dominio
Meglio digitare manualmente il sito nel browser invece di cliccare il link ricevuto.
Usare autenticazione a due fattori
Anche se una password viene rubata, il secondo fattore può bloccare l’accesso.
Tenere aggiornato il sistema
Aggiornamenti di:
browser;
client email;
sistema operativo;
antivirus.
sono fondamentali.
Le email di phishing sono sempre più sofisticate e spesso indistinguibili da quelle autentiche a un primo sguardo.
Controllare:
header;
IP;
dominio;
redirect;
autenticazione SPF/DKIM/DMARC
può fare la differenza tra una semplice email indesiderata e il furto dei propri dati.
Con pochi strumenti open source e qualche comando da terminale è possibile effettuare verifiche molto efficaci anche senza essere esperti di sicurezza informatica.