Analizzare una mail per beccare gli Scammer

5 Mag

Per capire se abbiamo a che fare con uno Scammer possiamo analizzare le mail che riceviamo non solo dal punto di vista testuale – concettuale. Possiamo ricavare indizi utili anche dall’esame del cd. “sorgente”.
E’ un’operazione facile, non è necessario essere smanettoni per farlo. Prima però sgomberiamo il campo da un mito ancora diffuso: non si può identificare il mittente di una mail tramite il tracciamento dell’IP.
Se pensate di individuare, passaggio dopo passaggio, l’esatta collocazione geografica e quindi l’identità di chi vi scrive siete fuori strada, come chiarisce con efficacia questo post, in merito alle difficoltà tecniche pressochè insormontabili con le infrastrutture tecnologiche odierne, o questo, sui problemi giuridici e politici legati al tracciamento prendendo spunto dal caso Google.
Solo i Provider sono in grado di individuare il PC o l’utente che ha effettuato una connessione in un determinato momento e magari vi ha inviato una mail sospetta. Le autorità di polizia infatti si rivolgono a loro per perseguire i cyber- crimini in cui è rientra lo Scamming.
Ma torniamo alla visualizzazione del sorgente: cioè il messaggio completo contenente non solo iltesto ma anche altre info come i server in cui è transitato, l’orario di spedizione,l’indirizzo IP di partenza etc…
In Mozilla Thunderbird, il client che uso io, si clicca menù visualizza/sorgente del messaggio.
Un ufficiale della Finanza specializzato nei crimini tecnologici mette a disposizione una breve guida per sapere qualcosa di più su chi ci scrive. Applicando i suoi suggerimenti ho analizzato i messaggi che ricevevo dai miei Scammer. Esempio:

From – Sun Apr 05 10:44:08 2009
X-Account-Key: account2
X-UIDL: 1142
X-Mozilla-Status: 0003
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                
Return-Path: <karsatulka@yahoo.com>
Received: from Mailrelay14.libero.it (192.168.32.138) by ims95a.libero.it (8.5.103.4)
        id 49BE1D470014CDE3 for XXXX@libero.it; Sat, 4 Apr 2009 18:18:16 +0200
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-Anti-Spam-Result: AkEJAJ8k10lEju1tkWdsb2JhbACILoI9gymHGXgBAQEBCQsKBxEDpQMHkCMFAgGEDAaFQw
X-IronPort-AV: E=Sophos;i=”4.39,324,1235952000″;
   d=”scan’208″;a=”971661302″
Received: from n2.bullet.mail.re3.yahoo.com ([68.142.237.109])
  by Mailrelay14.libero.it with SMTP; 04 Apr 2009 16:18:16 +0000
Received: from [68.142.237.89] by n2.bullet.mail.re3.yahoo.com with NNFMP; 04 Apr 2009 16:18:15 -0000
Received: from [216.252.111.167] by t5.bullet.re3.yahoo.com with NNFMP; 04 Apr 2009 16:18:15 -0000
Received: from [127.0.0.1] by omp102.mail.re3.yahoo.com with NNFMP; 04 Apr 2009 16:18:15 -0000
X-Yahoo-Newman-Id: 445600.28225.bm@omp102.mail.re3.yahoo.com
Received: (qmail 63377 invoked from network); 4 Apr 2009 16:18:15 -0000
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
  s=s1024; d=yahoo.com;
  h=Received:X-YMail-OSG:X-Yahoo-Newman-Property:Date:From:X-Mailer:Reply-To….
  Received: from unknown (HELO DM-11.mshome.net) (karsatulka@91.144.161.137 with plain)
  by smtp112.plus.mail.re1.yahoo.com with SMTP; 4 Apr 2009 16:18:14 -0000
X-YMail-OSG….
X-Yahoo-Newman-Property: ymail-3
Date: Sat, 4 Apr 2009 08:07:58 -0700
From: karsatulka@yahoo.com
X-Mailer: The Bat! (v3.64.01 Christmas Edition) Home
Reply-To: karsatulka@yahoo.com
X-Priority: 3 (Normal)
Message-ID: <681605948.20090404080758@yahoo.com>
To: XXXX@libero.it
Subject: Ciao amore mio
In-Reply-To: <24669309.1400111238682757995.JavaMail.defaultUser@defaultHost>
References: <24669309.1400111238682757995.JavaMail.defaultUser@defaultHost>
MIME-Version: 1.0

Il sorgente si legge dal basso verso l’alto; In questo bailamme di stringhe le parti più interessanti sono quelle in grassetto.
La mail è passata dai server di Yahoo a quelli di Libero. Ma notare questo IP: 91.144.161.137. Corrisponde a Yoshkar Ola, la nefanda capitale russa dello Scam, è stata trovata tramite un semplice Whois.
Sono stato fortunato perchè è apparso un IP con una delimitazione geografica precisa. Altre volte non è così, appare un IP assegnato ai grandi provider USA (yahoo, Gmail), oppure ci dice che la mail è partita dalla Russia. Troppo poco.
E quindi?
C’è un’altra informazione preziosa ad aiutarci: X-Mailer: The Bat! (v3.64.01 Christmas Edition) Home
Il truffatore ha usato un Mailer, un client appositamente studiato per gestire l’invio e la ricezione di grandi quantità di messaggi standardizzati, non un comune client come Thunderbird o Outlook.
Se vedete che la vostra bella corrispondente scrive con uno di questi ultimi è un indizio a suo favore, altrimenti… beh allarme rosso my friend!
A casa propria o negli Internet Cafè non si usano Mailer, che senso avrebbe?
A proposito di Whois; Nel web alcuni siti pubblicizzano software per il tracciamento.L’unico vantaggio dopo un paio di test è che mostrano graficamente la successione degli inoltri fino al destinatario, ma nella sostanza basta interrogare i vecchi e inossidabili Ripe o Arin per sapere quello che ci serve; oppure si può provare questo strumento free.
In tema di blocchi o famiglie di IP assegnati dai Mantainer mondiali alle varie aree geografiche, la competenza per la Russia è di Ripe.

Ghost Rider

Una Risposta to “Analizzare una mail per beccare gli Scammer”

  1. anonimo 21 dicembre 2010 a 15:25 #

    Salve,

    stavo leggendo un po' di info riguardo ai siti di dating quando mi venga un colpo leggo anche notizie di questi "scammers".

    Porca paletta! Lo sapevo!!
    E pensare che sono anche un'informatico (motivo per il quale la cosa mi puzzava moltissimo).

    La cosa è iniziata su Zoosk qualche sett fa.
    Ero già iscritto da molto tempo ma visto che ultimamente lo stavo frequentando un po' di più (e non si trova mai anima viva, solo profili tenuti li a marcire), quando mi arriva il contatto di una tipa che mi scriveva.
    Mah.. già che mi scrive… Certo sono un ragazzo carino ma di solito le donne difficilmente fanno il primo passo, anche visto che hanno un'ampia scelta a loro disposizione.
    Cmq, anche se non abbonato riesco a leggere la sua email e gli scrivo.
    Ricevo risposta dopo qualche giorno e ora ci siamo scambiati circa 3-4 mail a testa.

    Per ora richieste di soldi non ce ne sono ma mi puzzava tantissimo il modo in cui scriveva. Sembrava proprio un traduttore.
    Così ho anche provato a chiederglielo, anzi, addirittura ho scritto in una mia precendente mail "If you want i can talk english too, so maybe we can understand each other much better".
    Come non averla scritta.
    Nella sua successiva non fa riferimento a quella frase nè alla mia richiesta di informazioni sul perchè scriveva in quel modo.
    Solo dopo un'altra mia domanda mi ha detto che si qualche volta usa il traduttore e che insegna italiano (!!!!) in una qualche scuola (gli avevo chiesto dove l'avesse imparato).

    Ora se insegnasse veramente italiano in quel modo ci sarebbe da avè paura.
    Quindi insomma già nei giorni scorsi ho provato a tracciare le sue email ma nada. Allora ho provato con le foto che mi ha inviato per vedere se erano state "rubate" da qualche parte, ma nulla neanche quello.

    Mi ero QUASI convinto di essere troppo sospettoso finchè non sono arrivato su questo sito.
    Ho evitato di pagare C-date grazie a voi (anche a me decine di msg appena iscritto), purtroppo ho pagato Zoosk che spero bruci e FLIRTAMI.IT (che forse non è poi così male, magari se hai tempo di guardallo..)

    CMq per concludere con la "mia" cara/o Ksenya, aprendo l'header della sua ultima email ho trovato questo:

    Received: from user03 (kseniyacicci@83.99.180.7 with plain)
            by smtp104.mail.ac4.yahoo.com with SMTP; 20 Dec 2010 07:03:14 -0800 PST
    
    quell'ip mi dice come provenienza: Riva in Latvia, magari gli scammer si sono spostati li.
    
    La conferma (se mai ce ne fosse bisogno):
    X-Mailer: The Bat! (v3.99.3) Professional

    A questo punto non sto manco a rispondergli, ho già sprecato fin troppo tempo con questi buffoni, ma almeno non c'ho rimesso soldi (e neanche questo è poi tanto vero visto che mi sono iscritto a zoosk perchè a seguito di questo messaggio pensavo ci fosse qualcosa di bono).
    Non mi stupirebbe se questi scammers fossero pagati direttamente da questi siti di dating per tirare su un po' di utenti.

    Grazie ancora per i vostri ottimi avvertimenti 🙂

    D.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: