Libero Mail Spam

Lo scorso luglio avevo posto l’attenzione su un probabile attacco alle caselle eMail di Libero.it, rilevando un invio anomalo di eMail contenente SPAM provenienti dagli account di @libero.it! Successivamente alla prima ondata di eMail risalenti a Maggio 2014 le acque si erano calmate salvo sporadici casi ma nelle ultime 72 ore vi è stato un nuovo invio massimo di eMail contenenti SPAM che rispecchiano le stesse caratteristiche del precedente caso.

Nel dettaglio ho ricevuto eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web! Le cinque eMail di spam che ho ricevuto contenevano cinque distinti link ma essi reindirizzavano l’utente sempre al dominio http://gen.xyz che ora sembra essere sospeso.

Cinque indirizzi eMail appartenenti a @libero.it con i quali in passato ho scambiato messaggi di posta elettronica mi hanno inviato SPAM, ad accrescere ulteriormente il misfatto preciso che i mittenti di tali eMail con buona probabilità non si conoscono ne nella vita reale ne virtuale. Dettaglio che mi fa pensare di non essere un caso isolato ma una anomalia su buona parte degli account Italiani.

Di seguito vi riporto in una tabella l’eMail che ho rilevato nel precedente caso e nelle ultime 72h:

I Casi Rilevati
Data
Mittente Ultimo Contatto con il Mittente Server SMTP
Paese Mittente
29/05/2014 al************[email protected] 08/07/2013 estpak.ee Estonia
29/06/2014 adri********[email protected] 24/01/2013 trjdesigns.com Biellorussia
30/06/2014 li*******[email protected] 30/09/2011 telecom.kz Kazakistan
03/07/2014 sp****ni.de**[email protected] 08/02/2010 eigbox.net Argentina
05/07/2014 m****[email protected] 05/07/2006 ccg.ua Ucraina
08/07/2014 ca****[email protected] 21/03/2014 dehostingfirma.nl Paesi Bassi
08/07/2014 al************[email protected] 08/07/2013 mailgun.org Ucraina
09/07/2014 f******[email protected] 24/10/2013 melvincruz.com Indonesia
29/11/2014 al*****[email protected] 21/05/2013 1and1.es Ucraina
29/11/2014 be**a.****[email protected] 14/05/2013 opentransfer.com Ucraina
29/11/2014 fabio.***@libero.it 29/11/2014 shaw.ca Biello Russia
30/11/2014 *.el**[email protected] 22/04/2011 alienweathermachine.com Russia
01/12/2014 ele.***@libero.it 11/07/2010 zimbra.intercom.com Indonesia

Anche in questo caso ho interpellato i laboratori del D3Lab per avere un’ulteriore conferma, lavorano attivamente ogni giorni nel prevenire Phishing per istituti bancari e non solo scansionando una mole di eMail importante ogni giorno. Anche loro hanno rilevato in data 29/11/2014 quattro casi analoghi ai miei. Ovvero email contenente SPAM verso il sito http://gen.xyz e in passato mittenti e destinatari si erano già scambiati eMail.

Venerdì 11 Luglio 2014 avevo commentato sul Blog Ufficiale di Libero.it chiedendo ulteriori dettagli e linkando il mio originale articolo, ma ancora ad oggi non ho ancora ricevuto nessuna risposta e il commento non è stato reso pubblico!

Grazie invece ai molti lettori che mi hanno aiutato nell’analisi posso trarre le seguenti conclusioni sull’attacco di SPAM ai danni degli utenti di Libero.it:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione;
  • eMail inviate ad utenti NON presenti nella rubrica del portale Libero.it;
  • eMail inviate ad utenti presenti nella “Posta Inviata” del portale Libero.it;
  • eMail provenienti da mittenti diversi nei due casi rilevati (Maggio ’14 e Novembre ’14) che fa supporre ad un nuovo attacco del portale.

Dai dati raccolti il portale Libero Mail è stato violato, da tale violazione è stato possibile estrarre i destinatari delle eMail inviate e quindi presenti nella sezione “Posta Inviata” del portale Libero Mail. È facilmente credibile che avendo ottenuto l’accesso alla “Posta Inviata” abbiano ottenuto l’accesso anche alla posta “Posta in Arrivo” mettendo a disposizione di estranei le proprie eMail e magari anche Informazioni Sensibili o Personali.

I mittenti tra la prima analisi e la seconda analisi sono diversi, sarebbe curioso capire se il portale di Libero Mail è stato nuovamente violato oppure gli attaccanti hanno diversificato l’invio massivo di eMail in due periodi diversi molto lontani tra loro. Purtroppo l’archivio eMail è stato ormai sottratto e sarà difficile, se non impossibile, prevenire in futuro un nuovo invio massivo di SPAM, ma bisogna sperare che Libero.it hanno risolto la vulnerabilità nel suo portale.

Purtroppo non avendo ulteriori dati rispetto alla precedente rilevazione non posso che attendere, fiducioso, una risposta ufficiale da Libero.it in grado di circoscrivere il problema e/o inviarci ulteriori dettagli al fine di proteggere gli account di posta elettronica. Ad oggi l’accatto ha ottenuto una sfaccettatura importante al punto di rendere disponibili ad estranei le eMail di ignari utenti, violando la Privacy!