Per quanto possibile, mi sono brevemente un po' documentato rinfrescandomi la memoria, ma perlustrando soprattutto aspetti che ignoravo. Visto che sei chiaramente un esperto in materia, ti vorrei chiedere alcune cose.
Originariamente inviata da
Dascos
No non è il sito originale. Se e ripeto se riuscissero a modificare i tuoi dns
1) Intendi dire che questa eventualità si verifica NON SEMPRE e SOLO lato ISP e DNS server, ma anche lato utente??
o la tua cache locale, tu sul browser digiti paypal.com ma il tuo dns anzichè risolvere 64.4.250.36 come IP, risolve un altro (es 1.2.3.4), quindi il tuo sistema manda la richiesta a1.2.3.4 che ti risponderà con una pagina in tutto e per tutto simile a quella di Paypal.
2) Anche ciò sembra inequivocabilmente indicare un'azione in locale, cioè direttamente nel dispositivo e nel sistema dell'utente. È corretto?
3) Se è corretto, quali possono esserne le cause? malware (trojan) è l'unica che mi verrebbe in mente..
Peraltro, in una tale evenienza, non riesco a immaginare come si necessiti di una email di phishing per rastrellare informazioni: se Tizio può agire liberamente sul sistema di Caio, può tranquillamente vedere, ascoltare, farsi inviare quello che vuole...
Oppure, ma è più complicato, il tuo sistema manda la richiesta a 1.2.3.4 il quale fa da "proxy" verso il vero paypal quindi tu vedi il vero paypal MA tutto il traffico passa da 1.2.3.4 che ha quindi la possibilità di "leggere" i pacchetti in transito e modificarli. Quest'ultimo è il classico attacco MiM
4) È appunto su questo che mi sono focalizzato rispolverando la memoria per quel po' che ne sapevo e ricordavo, ma soprattutto approfondendo la questione, dato che non sono un professionista in materia, e già solo la trattazione di questo argomento è parecchio estesa e complessa. Alla luce della "documentazione" raccolta, anche questa tipologia di attacco, da quanto ho capito, sembra prevedere lo sfruttamento di debolezze e falle lato server, cioè sui sistemi remoti verso cui si inoltra la richiesta (chi gestisce il traffico e offre il servizio, per intenderci). È corretto, oppure sono previsti scenari in cui l'hacker agisce direttamente sul sistema dell'utente-vittima?
Riguardo la possibilità di inviare una mail come se fossi paypal.com, non è affatto difficile! Per questo ti chiedevo gli header del messaggio, perchè anche se io riesco a inviare una mail che a te sembra provenire da paypal.com, negli header c'è scritto chiaramente che in realtà è transitato/partito da 1.2.3.4
5) Per questo un grazie particolare (subito non ne avevo colto l'importanza), visto che, usando il mobile e le relative app di posta di routine, non è affatto possibile visualizzare le info che suggerivi. Ho dovuto quindi leggermi qualche articolo, e alla fine sono riuscito a ottenere i dati. Il tag di riferimento principale sembra Received. La mail sospetta ne riporta quattro. I primi tre direi che non corrispondono a PayPal (ma non ne sono per niente certo):
codice:
from 127.0.x.y
by ...........-mail-........miogestoreposta.com pod-id ..............com with HTTP; Thu, 9 Feb 2023 13:33:47 +0000
Return-Path: <bounce..........HTML-2763@bounce.emails.paypal.com>
X-Originating-Ip: [13.110.a.b]
codice:
pass (domain of bounce.emails.paypal.com designates 13.110.a.b as permitted sender)
Authentication-Results: atlas-...... gestoreposta.com;
dkim=pass header.i=@emails.paypal.com header.s=12dkim1;
spf=pass smtp.mailfrom=bounce.emails.paypal.com;
dmarc=pass(p=REJECT) header.from=emails.paypal.com;
X-Apparently-To: ,............; Thu, 9 Feb 2023 13:33:47 +0000
codice:
from 13.110.a.b (EHLO mta49.emails.paypal.com)
by 10.253.wx.zy with SMTPs
(version=TLS1_2 cipher=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256);
Il quarto della lista, che cronologicamente dovrebbe corrispondere al primo nella catena a ritroso del percorso di ricezione del messaggio, cioè il server di posta in uscita, non riporta nemmeno un IP (almeno io non lo vedo, però è targato paypal.com.. 
):
codice:
by mta49.emails.paypal.com id hsjr3m2fmd42 for .............; Thu, 9 Feb 2023 13:33:43 +0000 (envelope-from <bounce-6_HTML-2198...........From: "PayPal" <PayPal@emails.paypal.com>
To: ......................
Subject: Controlla le tue ultime transazioni
Date: Thu, 09 Feb 2023 07:33:43 -0600
List-Unsubscribe: <https://click.emails.paypal.com/subscription_center.aspx?.................
Sembrerebbe pertanto che l'operatrice PayPal avesse ragione. Quindi gli URL contenuti nella mail dovrebbero risolversi in traduzioni IP fittizie illegittime, oppure no, caso 4) del MiM, in cui, se ho ben capito, il click sul collegamento collegherebbe a 1.2.3.4 illegittimo che medierebbe, facendo da ponte tra utente e sito legittimo.
Ora mi chiedo in che tipologia di attacco ricada tutto questo.
Dovremmo trovarci in uno dei tre casi delineati sopra ai punti 1), 2) e 4).
In quest'ultima fattispecie 4) si dovrebbe anche essere in grado di decriptare la comunicazione.
Se poi fossero veri 1) o 2), penso, per quanto avevo detto (cioè che la cronologia del browser rivela il nome esatto), che dovrebbe trattarsi di attacco omografo, cioè, per i non addetti ai lavori come me, rappresentazioni apparentemente identiche degli URL tramite opportune sostituzioni di caratteri (es. cirillico vs ASCII) — l'articolo cui ho attinto lo incasellava sempre nella categoria del MiM, così come i casi 1) e 2), però per questi ultimi due riferendosi ad azioni illecite in remoto sui server DNS, non in locale lato client.
Ora ho imparato che non è sufficiente accertarsi del nome per star sereni! 
Attendo chiarimenti rispetto ai dubbi evidenziati (in particolare quelli ai punti 2), 3) e 4)) e correzioni di mie eventuali inesattezze.
Grazie mille per queste utili informazioni.
Rispondi quotando
