[AGGIORNATO x2] Libero Mail – Probabile attacco agli account eMail

Libero Mail

Nel corso delle ultime due settimane da alcune analisi effettuate mi è risultato un invio anomalo di eMail contenente SPAM provenienti da account di @libero.it, entrando più nel dettaglio ho ricevuto delle eMail da diversi account di Libero con i quali ho avuto uno scambio di messaggi negli ultimi 8 anni, tutte le suddette eMail contenevano link di spam verso un sito che promette guadagni facili tramite il web!

Pertanto diverse eMail @libero.it con le quali in passato ho scambiato messaggi di posta elettronica mi hanno inviato un link contenente SPAM, mittenti che sono scollegati tra loro e non si conoscono ne virtualmente ne nella vita reale! Dettaglio che mi fa pensare di non essere un caso isolato ma una anomalia su buona parte degli account Italiani. Di seguito vi riporto in una tabella l’eMail che ho rilevato:

 

I Casi Rilevati
Data
Mittente Destinatario Ultimo Contatto con il Mittente Contenuto
29/05/2014 al************[email protected] d*****[email protected]*****ti.it 08/07/2013 SPAM
29/06/2014 adri********[email protected] d*****[email protected]*****ti.it 24/01/2013 SPAM
30/06/2014 li*******[email protected] [email protected]********.net 30/09/2011 SPAM
03/07/2014 sp****ni.de**[email protected] [email protected]*****i.it 08/02/2010 SPAM
05/07/2014 m****[email protected] [email protected]*****i.it 05/07/2006 SPAM
08/07/2014 ca****[email protected] a*****[email protected]******ti.it 21/03/2014 SPAM
08/07/2014 al************[email protected] d*****[email protected]*****ti.it 08/07/2013 SPAM
09/07/2014 f******[email protected] [email protected]*****i.it 24/10/2013 SPAM

 

 

Confrontando i dati in mio possesso con i dati di Phishing raccolti dal laboratorio del D3Lab ho trovato conferma che è in corso un insolito traffico di posta elettronica da account di Libero Mail, infatti nel secondo trimestre del 2014 gli attacchi di Phishing verso utenti @libero.it è cresciuto rispetto alla media dell’ultimo anno.

Secondo i dati attualmente in mio possesso è plausibile che una vulnerabilità nel portale Libero Mail ha permesso a malintenzionati di accedere alle caselle eMail di ignari utenti, sfruttare la loro rubrica inviando eMail ad utenti conosciuti scavalcando possibili filtri Anti Spam! Un ulteriore ipotesi può invece vedere colpevoli gli utenti di Libero Mail che usando password notevolmente deboli e pertanto sono stati facili bersagli da parte di Lamer/Cracker che hanno violato gli account proprio allo scopo di inviare questa eMail di Spam!

Continueremo ad analizzare la vicenda, se avete ulteriori informazioni cortesemente avvisatemi 😉 grazie!

[AGGIORNAMENTO 09/07/2014]

Analizzando i sorgenti delle eMail ricevute vi riporto i seguenti dati:

 

Analisi sorgenti eMail
Data Paese Mittente X-Mailer Server SMTP
29/05/2014 Estonia Microsoft Windows Live Mail 16.4.3522.110 estpak.ee
29/06/2014 Biellorussia Microsoft Windows Live Mail 16.4.3522.110 trjdesigns.com
30/06/2014 Kazakistan Microsoft Windows Live Mail 16.4.3522.110 telecom.kz
03/07/2014 Argentina Microsoft Windows Live Mail 16.4.3522.110 eigbox.net
05/07/2014 Ucraina Microsoft Windows Live Mail 16.4.3522.110 ccg.ua
08/07/2014 Paesi Bassi Microsoft Windows Live Mail 16.4.3522.110 dehostingfirma.nl
08/07/2014 Ucraina Microsoft Windows Live Mail 16.4.3522.110 mailgun.org
09/07/2014 Indonesia Microsoft Windows Live Mail 16.4.3522.110 melvincruz.com

 

da tali sorgenti deduco che gli spammer non hanno usato direttamente il portale eMail di Libero (http://posta.libero.it) ma sfruttavano una connessione SMTP per inviare eMail ed il software Microsoft Windows Live Mail (oppure uno script creato ad hoc che si identifica per tale client) usufruendo di diversi servizi SMTP.

Federico ‘glamis‘ Filacchione, mi ha gentilmente inviato un suo sorgente eMail nel quale vengono riproposte le stesse caratteristiche delle eMail che ho ricevuto personalmente.

Ad oggi pertanto dai dati raccolti possiamo riassumere le seguenti caratteristiche dell’attacco:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione.

Ipotesi

Non avendo inviato le eMail direttamente dal sito internet di Libero, tecnica che gli avrebbe permesso di inviare eMail attraverso un server SMTP che prevede l’autenticazione e quindi migliorando il Rank contro i filtri AntiSpam è plausibile che il Portale eMail di Libero.it contenga una vulnerabilità con la quale è stato possibile estrarre la rubrica eMail di ogni singolo account. Rubrica che poi è stata sfruttata per inviare l’eMail contenenti SPAM.

Punti da chiarire:

  • Gli account eMail @libero.it sfruttati per inviare SPAM hanno subito un cambio password non voluto? Quindi l’attaccante è riuscito anche a cambiare la password di tali account?
  • Libero ha comunicato ai propri utenti un utilizzo anomalo del proprio account invitandoli ad effettuare qualche procedura?

[AGGIORNAMENTO 21/07/2014]

Venerdì 11 Luglio 2014 ho commentato sul Blog Ufficiale di Libero.it la vicenda linkando il mio articolo, ma ancora ad oggi non ho ancora ricevuto nessuna risposta e il commento non è stato reso pubblico!

Stando invece ai molti lettori che mi hanno aiutato nell’indagare su questa vicenda posso trarre nuove conclusioni sull’attacco di SPAM ai danni degli utenti di Libero.it:

  • eMail provenienti da account @libero.it realmente esistenti;
  • eMail inviate a destinatari conosciuti (in passato Mittente e Destinatario si erano scritti);
  • eMail inviate tramite Client eMail o Script, non sfruttando il portale di Libero.it;
  • eMail inviate dall’estero;
  • eMail inviate sfruttando server STMP che non prevedono l’autenticazione;
  • eMail inviate ad utenti NON presenti nella rubrica del portale Libero.it;
  • eMail inviate ad utenti presenti nella “Posta Inviata” del portale Libero.it.

Dai dati raccolti il portale Libero Mail è stato violato, da tale violazione è stato possibile estrarre i destinatari delle eMail inviate e quindi presenti nella sezione “Posta Inviata” del portale Libero Mail. È facilmente credibile che avendo ottenuto l’accesso alla “Posta Inviata” abbiano ottenuto l’accesso anche alla posta “Posta in Arrivo” mettendo a disposizione di estranei le proprie eMail e magari anche Informazioni Sensibili o Personali.

Attendo, fiducioso, una risposta ufficiale da Libero.it in grado di circoscrivere il problema e/o inviarci ulteriori dettagli. Ad oggi l’accatto ha ottenuto una sfaccettatura importante al punto di rendere disponibili ad estranei le eMail di ignari utenti, violando la Privacy!