A proposito degli Header HTTP di cui abbiamo parlato nell’Articolo precedente : “HTTP Header – Cos’è? E a Cosa Serve?” Oggi ci siamo divertiti a rintracciare l’Autore di una delle tante Email Spam che riceviamo ogni giorno!
Per cui chiacchiere a parte apriamo la nostra casella di Posta e rechiamoci nella cartella SPAM ed apriamo quella che più ci incuriosisce
Wow Aruba.it ci segnala un “problema di fatturazione”. Certo, siamo clienti Aruba è vero…Ma perchè finisce nello spam?! Forse il server di origine non ha superato i controlli di sicurezza e attendibilità?! Chissà… continuiamo a fidarci e clicchiamo il link che ci chiedono di aprire: https://managehosting.aruba.it/fatturazione?ID=aW5mb0B0ZWFtcHJvamVjdHNybC5pdA
Tutto sommato il dominio finale è aruba.it
Ops…. Link Sospetto!!! Fortuna che Google ci ha avvisato. Ma se non ci avvesse avvisato? Beh esiste un metodo semplice per capire la reale destinazione di un Link, vi basta andare col cursore del mouse sul link sospetto e prestare attenzione all’anteprima del link che noterete in basso a sinistra del vostro browser
Il Link è: http://nomenomen.org/fatturazione?ID=info Certamente non è Aruba.it. Una volta aperto con buona probabilità ci saremmo ritrovati in una qualche pagina infetta o chissà… Comunque adesso Investighiamo un po!
Innanzitutto recuperiamo l’Header dell’Email, nel caso di Gmail vi Basta recarvi sulla freccietta nera in alto a destra e poi su “Mostra Originale” (come in foto)
Si aprirà una nuova pagina con il seguente risultato!
In questo Header Mail semplificato apparentemente è tutto regolare, il mittente è ancora aruba.it. Quello che interessa a noi per un’analisi più precisa è l’Header Grezzo! Come da foto in basso.
Fate un bel copia ed incolla di tutto cio che vedete. Noi per analizzarlo abbiamo usato un tool Windows di una Cyber Forensic indiana, ma voi potrete usare questo validissimo web Tool http://smart-ip.net/trace-email.
Adesso vi mostriamo il nostro risultato:
A questo punto, senza eccedere nell’indagine, possiamo osservare che il Web Server finale urgaan.store.d0m.de nonchè il percorso di rete dell’email stessa e l’ISP, non possono corrispondere a quelli tradizionali di Aruba!
In ultimis non ci resta che fare un Whois del Link Sospetto http://nomenomen.org/fatturazione?ID=info e vedere il “Dominio” a chi appartiene. Utilizzeremo il nostro fidato DomainTools ed ecco il risultato:
Non ci sembra il caso di divulgare informazioni sensibili, diciamo solo che si tratta (almeno all’apparenza) di una organizzazione locata qui a Roma e denominata “Associazione Culturale etc…” di cui abbiano telefono, indirizzo e civico e tutto l’occorrente per indagare in maniera approfondita. Però noi ci fermiamo qua, non è questo lo scopo dell’articolo! Grazie Per la Lettura 😉 !
P.S. Esiste anche la possibilità che tale “Associazione…” sia a sua volta vittima di hacker Maleintenzionati.
Seguiteci su Facebook 😉
Un commento su “Email Tracker – Email Header Analyzer”
Interessante.