Spam dal Proprio Indirizzo nella Casella GMail

Ho l’abitudine di controllare periodicamente la casella spam di Gmail. Credo che l’unico valido motivo per fare ciò sia legato ad una fiducia non proprio totale nei confronti del filtro. Ho in sostanza paura che il filtro possa essere troppo severo e generare quindi dei falsi positivi.

Per questo motivo controllo periodicamente ciò che viene archiviato come spam e naturalmente svuoto tutto (per rendere meno oneroso il successivo controllo).

Bene, devo dire che il filtro funziona a dovere. Finora solo un messaggio etichettato spam per errore. E in questi giorni mi ha anche stupito positivamente, riuscendo ad intercettare dei messaggi di spam anche se l’indirizzo del mittente era…uh…il mio!!!

[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]

Gmail Spam Box
Gmail Spam Box

La prima volta che è successo, qualche giorno fa, ho archiviato la cosa come un baco in qualche mass-mailer che avesse, ahimè, anche il mio indirizzo. Poi sono andato a guardare gli header del messaggio. In Gmail potete vederli facendo click sulla freccina accanto a reply, e scegliendo fra le opzioni “Show original”. E negli header ho visto cose brutte:

Delivered-To: mioindirizzo@gmail.com
Received: by 10.142.104.12 with SMTP id b12cs7943wfc;
        Tue, 11 Nov 2008 12:15:52 -0800 (PST)
Received: by 10.210.66.13 with SMTP id o13mr9588525eba.74.1226434551118;
        Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Return-Path: <mioindirizzo@gmail.com>
Received: from m85-94-175-97.andorpac.ad (m85-94-175-97.andorpac.ad [85.94.175.97])
        by mx.google.com with ESMTP id g9si9762451gvc.0.2008.11.11.12.15.46;
        Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Received-SPF: neutral (google.com: 85.94.175.97 is neither permitted nor denied 
by domain of mioindirizzo@gmail.com) client-ip=85.94.175.97;
Authentication-Results: mx.google.com; spf=neutral (google.com: 85.94.175.97 is neither 
permitted nor denied by domain of mioindirizzo@gmail.com) smtp.mail=mioindirizzo@gmail.com
Date: Tue, 11 Nov 2008 12:15:51 -0800 (PST)
Message-Id: <4919e7f7.096c100a.3153.3259SMTPIN_ADDED@mx.google.com>
To: <mioindirizzo@gmail.com>
Subject: Barak and McCain's conssultants
From: <mioindirizzo@gmail.com>
MIME-Version: 1.0
Importance: High
Content-Type: text/html
Segue in testo del messaggio...

No ho particolare confidenza con in protocollo in questione, ma confrontando gli header con quelli di un messaggio legittimo la somiglianza è preoccupante. Purtroppo i pochi post(al momento) presenti nei relativi gruppi google non sono assolutamente d’aiuto.
I consigli che al momento posso dare sono abbastanza basilari:

[Attenzione: in fondo al messaggio un update, la sicurezza del vostro account Gmail è con tutta probabilità salva.]

  • cambiate password;
  • cambiate domanda segreta;
  • verificate o cancellate eventuali “account secondari” a cui avevate concesso l’accesso. Non mi riferisco agli account secondari di posta, me agli altri indirizzi che usate (se ne usate) per autenticarvi con i servizi di Google;
  • monitorate il fenomeno.

Conoscendo i personaggi in questione e l’attenzione verso questo prodotto, se la cosa dovesse diffondersi probabilmente ci metteranno una pezza.

Non mi fermo con le analisi. Spero di scoprire che si tratta di una banale configurazione di un client che si spaccia per un altro, nel qual caso (forse) c’è meno da preoccuparsi, ma vi invito comunque a verificare le vostre caselle spam. Chiaramente la preoccupazione più grande è che lo stesso messaggio possa essere mandato alla propria rubrica, ma al momento nessuno dei miei contatti ha riportato manifestazioni del genere. Uno di loro mi ha invece confermato di avere lo stesso problema dei messaggi auto-inviati.

Disclaimer: l’apertura di un messaggio di posta, specie dentro un browser con javascript abilitato, può causare l’esecuzione di codice maligno. Se non vi fidate dei messaggi che avete in spam e volete cancellarli senza correte rischi, eliminateli direttamente (“Delete all spam messages now”) senza aprirli.

UPDATE: Dopo pochi scambi di battute su FF (grazie a chi ha contributo alla discussione colmando la mia ignoranza), forse la cosa si può archiviare come un semplice tentativo di Socal Engineering tarato proprio su Gmail, e sulla sua funzionalità che associa l’etichetta “me” (come mittente) al proprio indirizzo di posta elettronica. Questo vuol dire che la sicurezza del vostro accont è con tutta probabilità inviolata (cioè la presenza di tali email non è un indice di effrazione).

Ho provatto a connettermi ad un smtp del provider (quindi non google) e inserendo a mano (tecnicamente spoofando) il campo “from” sono riuscito a riprodurre un messaggio per il 90% simile a quello che ho segnalato (ma mai identico negli header).

Il tentativo di autenticazione che Google cerca di fare tramite Sender Policy Framework non da un risultato significativo, ed è probabile che il filtro antispam tenga conto anche di questo.

19 thoughts on “Spam dal Proprio Indirizzo nella Casella GMail”

  1. E’ successo anche a me, ed effettivamente è stato inviato spam ai miei contatti (che lo hanno ricevuto). Inoltre era cambiata la mia firma, con lo stesso testo dello spam.

    Io penso ci sia effrazione.

  2. UPDATE: era stata impostata anche la risposta automatica, con il testo dello spam.

    Personalmente ho cambiato la password ed il fenomeno è scomparso.

  3. Ciao Lorenzo. Penso si tratti di due fenomeni diversi. Nel mio caso nessuna email è stata inviata ai miei contatti, quindi sono relativamente più tranquillo.
    Nel tuo caso invece …posso solo suggerire, per una ulteriore analisi, di farti inoltrare uno dei messaggi mandati con il tuo account, per capire se sono stati generati approfittando ad esempio del cookie sul tuo pc, oppure, nel caso gli indirizzi ip non corrispondano con quelli con cui ti colleghi abitualmente, usando proprio le tue credenziali da un altro PC. La sistematicità della cosa (in particolare del meccanismo di cambio di firma) mi fa pensare che ci sia comunque qualcosa di automatico.

  4. Anch’io penso mi abbiano violato l’account con qualche tool automatizzato, data la sistematicità dell’azione (spam + risposta automatica + firma). La mia password non era robustissima, solo 6 lettere (non una parola comune però).

    Questo era il testo dello spam inviato (ho oscurato gli URL):

    Subject: RE:HI


    Hi guys,
    I found a webpage,the items and the price are very good ,I hope you also can access it and choose some items that you need.They supply all kinds of laptops, digital cameras, GPS,cellphones,game console and many other electronic products. If you buy more ,you can get more discounts.The website is 《www.world[XXX].[XXX] 》
    MSN:world[XXX]@[XXX].com
    E-mail:world[XXX]@XXX.com

    Dagli header vedo:

    Received: by 10.103.24.17 with SMTP id b17mr4705743muj.21.1226427405586;
    Tue, 11 Nov 2008 10:16:45 -0800 (PST)
    Received: by 10.103.165.7 with HTTP; Tue, 11 Nov 2008 10:16:45 -0800 (PST)

    Stranissimo, gli indirizzi IP 10.* sono quelli locali !?

    1. Sono stata vittima anch’io di quanto segnalato da Lorenzo. Simile il testo. Mi è accaduto ieri 29 gennaio 09.

      Dal mio account hanno inviato a tutti i miei contatti il messaggio, tutti i contatti tranne quelli che hanno il dominio gmail. Qualcuno me lo sa spiegare ?

      Ho inoltrato la mail a spam@uce.gov.

      1. Uhm…anche se le segnalazioni sembrano rallentare, si direbbe che siamo lontani dal liberarci da questo tipo di spam. Tuttavia noto che il “me” non viene più associato al proprio account, con il pallino verde a segnalare la presenza on-line.

  5. Pingback: » Vecchia Falla di Google Ancora Pericolosa!
  6. Pingback: » Google c’è!

  7. ok; un’ora fa ho avuto anch’io un problema analogo, un’email scritta in perfetto italiano con intestazione:

    Delivered-To: (removed)@gmail.com
    Received: by 10.142.245.9 with SMTP id s9cs41634wfh;
    Tue, 25 Nov 2008 10:13:56 -0800 (PST)
    Received: by 10.210.27.20 with SMTP id a20mr4999288eba.137.1227636835313;
    Tue, 25 Nov 2008 10:13:55 -0800 (PST)

    Non so ancora se saranno stati mandati spam ai miei contatti; certo non voleva mandarla a me, infatti io l’ho trovata solo per caso dando un’occhiata alle mie mail inviate: lì c’era, con me come mittente e come destinatario, ma a me non è mai arrivata, nemmeno nella cartella di spam che gentilmente gmail mi elimina automaticamente. Anche per voi è così?

    let

  8. Ciao Letizia.
    Il tuo caso è un po’ diverso, e per certi versi (senza allarmarti) più grave. La presenza della mail nella tua posta inviata è indice che qualcuno ha utilizzato il tuo account. Ma sei sicura che fosse proprio ella posta inviata?
    Per sicurezza comunque ti consiglierei di cambiare password e domanda di sicurezza, non si sa mai.

  10. ok, scusa, ho letto la tua risposta dopo la mia nuova email; sì, ho subito cambiato password e domanda (però non mi destreggio bene con la cache e i portachiavi; mi è stato confermato che ho cambiato tutto, ma non mi è stato chiesto di immetterli all’apertura. BOH, si saranno salvati automaticamente per settaggio precedente? comunque ho provato da un altro computer e vale la nuova password). BOH? se sono spam fioriranno?
    let

  11. Beh, per essere una che non se la cava bene…te la cavi piuttosto bene! 🙂 La prova con un altro computer (o anche un altro browser sullo stesso PC) è esattamente il tipo giusto di tentativo da fare.
    Per il momento va bene così. Monitora la posta un po’ più attentamente del solito, e se risuccede…vorrà dire che in qualche modo qualcuno riesce a “catturare” la tua password.
    Ti ricordo che puoi comunque “Uscire” dal tuo account google (in alto a destra dovrebbe esserci “Esci”). AL successivo collegamento di dovrebbe essere richiesta la password.
    Ciao!

  12. rieccola … ecco una seconda email da me a me: dannazione, non so se mi hanno rubato anche la seconda password perchè non ricordo a che ora esatta l’ho cambiata. La prima email preoccupante era SOLO nelle inviate, perchè l’ho vista subito, appena l’avevano scritta, mentre probabilmente ha ritardato alcuni minuti per arrivare. La cosa è complicata perchè ho diversi account collegati e mi pare di capire che non sono entrati su gmail ma sull’altro server (sul quale, x di più, non riesco ora a cambiare la password). Che casino, non capisco più nulla. Ora mi fermo per bloccare la sindrome da spammer; domani metto il system manager del server in questione con le spalle al muro … e vediamo. Grazie a tutti delle indicazioni varie

    let

  14. Boh?! il problema non è chiaro nemmeno al system manager; la cosa è complicata dal fatto che uso due server di posta e che ci sono rinvii vari tra le due caselle. Inoltre queste dannate “conversazioni” di gmail fanno sì che ora la prima email incriminata di essere presente solo nelle “inviate”, fa parte di una conversazione perchè l’ho subito inoltrata al system manager, quindi non si capisce più se era tra le inviate o ricevute (mi unisco a quelli che sono infastiditi dalla rigidità del raggruppamento in “conversazioni”). La frase finale sibillina del mio informatico è stata: “adesso rimettiamo tutto in ordine e vedi se ti ricapita”.
    Comunque anche la seconda email di spam è finita nelle mie inviate, quindi con i miei semplici ragionamenti deduco:
    o lo spammer mi ha rubato l’account o c’e un baco in gmail che inserisce tra le inviate quelle che SEMBRANO venire da me. Intanto stamani mi son trovata l’ebanking bloccato per eccessivi tentativi sbagliati di connessione (non fatti da me, ovviamente) e anche se penso di aver avuto un comportamento ineccepibile (non ho ritrascritto userid o pswd sul computer, non clicco link su email sconosciute, non do userid e pswd in email o per telefono) … comunque la sindrome del furto mi ha preso … ma ora direi che era pura coincidenza. Tempi duri i tempi moderni. BYE

  15. Ho scoperto qualche minuto fa che nel mio profilo GMail era stato inserito nell’autorisponditore il testo della mail di spam riguardo il sito worldtradingsky
    Immagino che sia stato violato il sistema di GMail, ho lasciato un post in un forum di assistenza

  16. inoltre ho scoperto di avere dei cookies riguardo quel sito
    purtroppo un paio li ho cancellati senza leggere bene il contenuto
    di un paio ho il contenuto che riporto nel caso qualcuno possa farci qualcosa:
    dominio: groups.google.com
    cookie: 118165087.1228494180.4.2.utmccn=(organic)|utmcsr=google|utmctr=www.worldtradingsky.com|utmcmd=organic

    dominio: .n2.nabble.com
    cookie: 21241956.1228494168.1.1.utmccn=(organic)|utmcsr=google|utmctr=www.worldtradingsky.com|utmcmd=organic

    dominio: n2.nabble.com
    cookie: “Return to forum

  17. Ciao Ivan.
    I primi due cookie che riporti non dovrebbero essere preoccupanti, perchè sembrerebbero appartenere a Google Analytics. Sul terzo invece non so dirti. Tienici aggiornati!

Comments are closed.