Diversi esperti di sicurezza sostengono che lo spam è in diminuzione, fatto sta che i filtri automatici dei provider e dei nostri client di posta lavorano sempre a pieno regime per eliminarlo. Lo spam in sé però è una seccatura, il vero rischio sono le mail di phishing che ci invitano a cliccare su link apparentemente leciti che però non lo sono. Che sia la vostra banca, il vostro fornitore di energia elettrica o la misteriosa fanciulla in cerca di un fidanzato, di solito queste mail è meglio ignorarle del tutto.

Ciò premesso, se non siete davvero certi che la mail sia illecita (però, di nuovo, quasi certamente lo è) o più semplicemente perché volete capire qualcosa in più su chi c’è dietro giocando con i poteri nascosti del Terminale, ecco come potete divertirvi un po’ senza correre rischi. Le stesse cose che spieghiamo qui si possono fare anche online, il nostro scopo è ancora una volta familiarizzare con l’interfaccia a caratteri.

Seguire le tracce

Una mail di phishing contiene sempre un link da cliccare. Non cliccatelo per nessun motivo, ma copiatelo con il menu contestuale (tasto desto del mouse o doppio tap sulla trackpad) e incollatelo in un editor come TextEdit. Ora possono darsi due casi. Primo: il presunto hacker ostile è stato furbo e usa per il link-trappola un dominio vagamente simile a quello lecito. Per la ipotetica banca SuperBanca potrebbe ad esempio usare www.superbanca.it.nomefurbo.tv: un utente frettoloso vedrebbe superbanca.it e si sentirebbe tranquillo, mentre in realtà il sito a cui punta il link non è quello: è nomefurbo.tv di cui superbanca.it è un sottodominio dove può esserci di tutto. Di certo non SuperBanca.

Secondo caso, meno intelligente: per nascondere il link si è usato uno “shortener” (accorciatore) come Bit.ly. In questo caso il link è incomprensibile, ma esistono siti come getlinkinfo.com che “spacchettano” i link abbreviati mostrandoci il vero link di destinazione e anche tutti i passaggi intermedi. A noi interessa il link di destinazione finale.

hostChi c’è dietro il sito-trappola? Il Terminale ce lo fa scoprire rapidamente. Abbiamo concluso che il link di destinazione è qualcosa del tipo (sempre secondo il nostro esempio) www.superbanca.it.nomefurbo.tv, apriamo il terminale e digitiamo host nomefurbo.tv. Otteniamo qualche riga di risposta, ci interessa la prima che termina in has address a.b.c.d dove a.b.c.d è un indirizzo IP, per la precisione l’indirizzo IP del dominio con il sito-trappola. Per fare un esempio reale, il comando host fpigna.info dà come risultato has address 195.110.124.133. Il comando host ci dà anche indicazioni su chi gestisce la posta elettronica del dominio.

Ora che abbiamo il numero…

Ora nel terminale digitiamo whois a.b.c.d e dopo un istante appariranno molte righe di informazioni. La prima parte è dedicata all’entità che mantiene le registrazioni dei domini dell’area dove si trova quello che stiamo esaminando. Sono entità lecite e non ci interessano. La seconda parte è dedicata a chi gestisce il dominio ed è quella che ci interessa. Proprio in fondo i campi mnt-by e created ci dicono quale entità effettivamente gestisce il dominio e quando è stato creato (di solito di recente per i siti di phishing).

whoisIn questa sezione dovremmo trovare anche le informazioni (ad esempio il campo abuse-mailbox) per contattare il provider web gestore del sito. Che di solito non c’entra niente perché non ha controllo su quello che ci si fa con un sito web. Questo vale in particolare per i cloud provider che permettono di attivare server virtuali online in pochi clic e con giusto una carta di credito. Lo scopo per noi non è identificare l’hacker ostile ma essere sicuri: se la presunta mail di SuperBanca ci rimanda a un gestore magari moldavo, i nostri dubbi erano fondati.

CONDIVIDI

LASCIA UN COMMENTO