giovedì 2 novembre 2006

Viagra? No, grazie (piccola indagine anti-spam)

Questa mattina aprendo la posta ho trovato una gradevole sorpresa: un'e-mail di spam (chi non sa cos'è può dare un'occhiata qui). Essendo la prima volta che ne ricevo una, la cosa un pò mi ha sorpreso; oltretutto per gestire la posta elettronica faccio esclusivamente uso della webmail, e ciò significa che il messaggio che mi è arrivato è riuscito a bypassare i filtri antispam del provider. Ho quindi provato a fare "l'Attivissimo" della situazione facendo qualche indagine.

Naturalmente vale sempre il consiglio di cestinare immediatamente i messaggi provenienti da mittenti sconosciuti, specie se contengono allegati. In questo caso comunque l'allegato non c'era. Ecco come si presentava l'e-mail (clicca su ogni immagine per ingrandirla):



Ecco come hanno fatto gli astuti spammer a bypassare i filtri antispam: date un'occhiata alla scritta in nero, quella con alcune lettere grandi e altre piccole. Bene, lasciate perdere le piccole e leggete solo le grandi, cosa viene fuori? "Cheap Viagra", ossia Viagra economico, a basso costo. Furbi, no? Nessun filtro avrebbe lasciato passare un'e-mail con all'interno la parola "Viagra" e quindi hanno pensato bene di "mascherarla" usando nella stessa riga alcune lettere grandi e alcune piccole, in modo che le lettere che formano la parola Viagra non fossero sequenziali. Geniale, no?

Bene, visto che per stessa ammissione di mia moglie a me il Viagra ancora non serve, a questo punto potrei tranquillamente chiudere l'e-mail e cestinare il tutto. Ma io sono curioso, e quindi vado avanti. Dunque, prima domanda: da dove viene questo messaggio? Una prima risposta la possiamo trovare analizzando l'header dell'e-mail, ossia la sua intestazione, eccola:



Il primo particolare a cui dobbiamo prestare attenzione è il numero "-800" indicato nella penultima riga a fianco della data. I server di posta, oltre all'orario che vedete scritto, usano infatti indicare anche la differenza di fuso orario rispetto a quello di Greenwich, preso come riferimento. Come è noto l'Italia è avanti di un'ora rispetto al GMT, infatti se si controllano le indicazioni riportate nei normali messaggi che si ricevono da amici e conoscenti, si nota che riportano tutte "+100". Il fatto che qui sia scritto "-800" indica senza ombra di dubbio che il messaggio è partito da ben più lontano, certamente non dall'Italia.

Quando si ricevono e-mail come questa, specie se inattese e/o sconosciute, non bisogna mai cliccare sopra al link contenuto all'interno (a meno che naturalmente non si tratti della mia newsletter ^_^); spesso infatti si tratta di "phishing", una tecnica adottata dai criminali informatici per carpire dati sensibili agli utenti (codici bancari, ecc...) che consiste nel reindirizzare verso siti truffa all'interno dei quali viene chiesto di inserire tali dati.

Purtroppo non esistono rimedi a questa piaga; se il nostro indirizzo è caduto in mano agli spammer l'unica soluzione è quasi sempre quella di cambiarlo con uno nuovo. Sì, in teoria ci sono delle leggi che puniscono gli spammer, ma fondamentalmente sono di difficile applicazione in quanto spessissimo i simpatici individui che ci attaccano non sono italiani, e delle nostre leggi cosa volete che freghi a un nigeriano, coreano o cinese come in questo caso? Volendo, si può tentare di segnalare l'abuso al Garante della Privacy o al provider, ma l'esperienza dimostra che la maggior parte delle volte è solo una perdita di tempo: il garante ha ben altro a cui pensare, e spesso i provider vendono ai proprio utenti pacchetti antispam (basta fare 2 + 2).

Bene, a questo punto possiamo passare ad analizzare il sito linkato nella mail. Innanzitutto (mi pare di averlo già detto) su questi link non bisogna mai cliccare, specie se si usa Internet Explorer (il perché l'ho già spiegato tempo fa qui). Se proprio non resistiamo alla tentazione è comunque meglio digitarlo manualmente nella barra degli indirizzi del browser. Naturalmente mi sono guardato bene dall'aprirlo subito; prima ho cercato qualche informazione supplementare.

Come prima cosa ho inserito il nome del sito nel fido Netcraft, ed ecco il responso:



Alcune indicazioni mancano, ma è evidenziato chiaramente nel campo "country" che ci troviamo in Cina. Con un'ulteriore ricerca whois effettuata con Notrace trovo altre importanti informazioni sul sito, ma a questo punto posso anche lasciar perdere, non mi metto certo a scrivere un'e-mail di protesta... in cinese. E allora vediamola questa famosa pagina. Eccola qui:




Ecco qua. Come potete notare da questa schermata, abbiamo il Viagra, il Cialis (?), l'Ambien (?), poi scendendo giù è possibile acquistare il Prozac, il Valium, ecc... insomma una vera e propria farmacia online.
Bene, a questo punto ne ho abbastanza e chiudo il tutto: il Viagra (almeno per adesso) se lo possono anche tenere.

4 commenti:

  1. Vorrei segnalare un mio lavoro

    http://www.bug01.com
    uno spam-blog, un blog alimentato dallo spam.

    Per evitare che il blog si riempisse sempre dei medesimi messaggi (diamine, un po' di varietà) avevo inserito un controllo dell'hashset delle immagini... per evitare che lo stesso spam venisse postato + volte.

    E' durata solo 24 ore...

    Oggi mi sono trovato 4-5 cialis identici, soltanto che le immagini sono leggerissimamente differenti in modo che l'hashset non sia lo stesso e sia impossibile catalogarle "univocamente" come spam.

    Un lavoro duro quello dello spammer, peggio del veterinario del Montenegro.

    RispondiElimina
  2. > E' durata solo 24 ore...

    Beh, meglio che niente...

    RispondiElimina
  3. Questo commento è stato eliminato da un amministratore del blog.

    RispondiElimina
  4. Questo commento è stato eliminato da un amministratore del blog.

    RispondiElimina

Rifarei tutto

Indipendentemente da quale sarà la sentenza, dire "Rifarei ciò che ho fatto", "Rifarei tutto" ecc., cosa che si sente sp...