La posta elettronica è ancora oggi uno dei metodi più gettonati per inviare ad amici e colleghi messaggi online, ma spesso può nascondere alcune insidie. Ci siamo mai chiesti se la mail che abbiamo ricevuto è un tentativo di phishing o se si tratta davvero di una comunicazione autentica?
L’obiettivo è dunque quello di capire come è strutturata un’e-mail, analizzarne gli header per risalire eventualmente al vero mittente evitando così di cadere vittima di e-mail cosiddette fraudolente.
Truffe online: le più diffuse, come riconoscerle e i consigli per difendersi
Indice degli argomenti
I campi che compongono l’header di un’e-mail
Quando scriviamo un nuovo messaggio di posta elettronica, composta la parte testuale relativa ai contenuti, dobbiamo necessariamente compilare alcuni campi relativi all’intestazione, ovvero l’header dell’e-mail. Qui saranno presenti i nostri dati (mittente), l’oggetto del messaggio e l’e-mail del destinatario.
Il meccanismo di invio della posta, esattamente come accade per quella tradizionale cartacea quando spediamo, ad esempio, un pacco, si basa su una serie di passaggi che lasciano traccia del loro percorso. Queste piccole briciole, se percorse a ritroso, rappresentano il punto di partenza per rintracciare la fonte del messaggio e classificarla. Tramite posta elettronica, infatti, possono configurarsi diversi eventi spiacevoli o dannosi, alcuni dei quali giuridicamente rilevanti o prodromici ad un’attività penalmente rilevante o di natura risarcitoria, tra i quali: lo spam, i tentativi di phishing, i virus in allegato al messaggio, e altro ancora.
Visualizzare l’header completo di una mail
Abbiamo visto che quando inviamo un messaggio di posta vengono registrate delle informazioni importanti che riguardano il mittente, il destinatario e gli indirizzi IP/Server adoperati per la trasmissione. In realtà, non è affatto semplice risalire all’identità di un soggetto, anche perché esistono indirizzi privati, tuttavia analizzare l’header completo di un messaggio di posta elettronica ha i suoi vantaggi.
Per prima cosa, prendiamo in esame Gmail, un servizio di Google tra i più in voga per l’invio e la ricezione della posta elettronica. Se vogliamo trovare l’header completo di una mail che è stata inviata seguiamo attentamente questi passaggi. Apriamo un’e-mail, come se volessimo rispondere al mittente o visualizzare il messaggio, e clicchiamo a destra sul menu delle opzioni raffigurato da un’icona con i tre puntini.
Adesso potremo visualizzare il “Messaggio Originale” scaricandolo o copiandolo negli appunti per mezzo delle apposite soluzioni proposte da Gmail. Recandoci sulla guida di MXTool è possibile leggere come estrapolare da Outlook, Yahoo e altri, l’header completo.
A prima vista potremmo trovarci confusi da tutte queste strane informazioni. Andiamo ad analizzare le voci più importanti e scopriamo insieme quali significati nascondono prima di inserire in tool come MXTool i nostri header.
La struttura di un header e-mail completo
Oltre ai campi che utilizziamo di solito, un header è composto da più informazioni. Vediamo tutte, o quasi, le voci di una mail nel dettaglio.
- From/da: indica il mittente di un messaggio di posta.
- To/a: va compilato con il destinatario dell’e-mail.
- Subject/Oggetto: utile da compilare per tenere traccia dei contenuti trattati nelle comunicazioni via posta e per evitare che la mail finisca in spam.
- Cc: copia carbone del messaggio è una sezione in cui puoi specificare uno o più indirizzi e-mail a cui recapitare un messaggio. La comunicazione spedita con tale modalità sarà inviata al destinatario principale più a tutti coloro che risultano inseriti nel campo “cc”. Questi ultimi infatti riceveranno non solo una copia del messaggio mandato al destinatario, ma saranno a conoscenza del fatto che la mail è destinata a più partecipanti di cui visualizzeranno gli indirizzi di posta.
- Ccn: per risolvere il problema appena visto sopra, cioè mettere in copia più partecipanti ad una conversazione ma senza far visualizzare ad ognuno di loro il campo “cc”, si utilizza la sezione “ccn”.
- Delivered to: chi riceve la mail, il destinatario finale della comunicazione.
- SPF: Si tratta del Sender Policy Framework un meccanismo per autenticare l’indirizzo di posta elettronica di un messaggio.
- DKIM: domain Key Identification Mail, provvede alla validazione del dominio di una mail.
- DMARC: domain-based message authentication Reporting e conformance, è utile a combattere il fenomeno del mail spoofing (pratica che mira a camuffare la mail del mittente dandole un nome somigliante a una mail istituzionale o di soggetti noti alla vittima).
- Return-Path: le mail non arrivate a destinazione a causa di un errore rimbalzano indietro all’indirizzo di risposta “return-path”, a volte però rappresenta semplicemente l’indirizzo a cui rispondiamo cliccando su “rispondi alla mail”.
- X-Priority: è un valore di priorità che oscilla tra 1 e 3 e determina la priorità del messaggio.
- Received: riguarda i passaggi fatti dalla mail dal server del mittente fino al server del destinatario. È il campo che ci tornerà utile nei prossimi esempi.
- Message-ID: tutte le mail sono identificata da un proprio ID che è composto da una serie di numeri seguiti da una chiocciola e un dominio.
- Content-Type: una mail può essere di diverse tipologie come formato testo, html eccetera. Questo campo identificherà una tipologia di linguaggio con esattezza.
Usiamo MXTool per l’analisi degli header di un’e-mail
I tool per analizzare le e-mail sono molti, MXTool è uno dei più intuitivi e completi per analizzare DNS, HOST, IP, SMTP, URL e altro. Ma come può venirci in aiuto?
Una volta in possesso dell’header completo, quello che abbiamo copiato accedendo alla voce “Messaggio originale”, basterà incollarne il contenuto all’interno della sezione apposita su MXTool. Il risultato sarà simile a quello mostrato nella figura seguente.
Come possiamo notare dall’immagine, i check in rosso superano quelli in verde, sintomo, in questo esempio, che la mail del mittente è poco raccomandabile (infatti era stata classificata come spam). SPF e DKIM servono ad identificare i mittenti. A grandi linee, SPF designa i server che possono operare per conto nostro, mentre DKIM inserisce una firma ad ogni messaggio di posta in uscita. In questo modo, nel caso di più passaggi, la mail sarà sempre riconoscibile e riconducibile al server iniziale di inoltro.
Il compito di effettuare la verifica di queste firme è del DMARC che dirà al server di destinazione come comportarsi e come classificare il messaggio. Quando il DKIM non è disponibile o non è configurato, la mail è trattata spesso come spam.
Se utilizziamo un servizio per geolocalizzare l’IP presente nelle nostre email troveremo sempre che: in una e-mail SMTP i campi received (hostname server, Ip e data) vengono classificati dal più recente al più vecchio. Questo è importante quando vogliamo utilizzare servizi di IP Look Up.
Geo localizzare un IP: conviene?
Prendendo la mail precedente come esempio, inserendo un indirizzo IP dopo l’altro (partendo dal received più in basso), su IP LookUp di Whatismyipaddress, vedremo che il percorso di comunicazione è stato il seguente: la mail che c’è stata inviata è partita da un server situato in Russia, è arrivata in Francia e successivamente in Italia.
Se vogliamo fare pratica con l’analisi degli header proviamo a inviare una mail dal nostro account Gmail a un altro account e-mail, magari diverso da Google, e divertiamoci a inserire gli IP sull’IP LookUp. Questo meccanismo presenta però delle limitazioni.
Nel caso di un messaggio inviato da Gmail ad altro account, setacciando la nostra mail d’arrivo troveremo che il receiver più in basso, da dove tutto è cominciato, probabilmente sarà qualcosa del tipo: mail-xxxxxx.google.com più un IP accanto. Quindi se il nostro obiettivo era risalire con certezza al PC del mittente non potremo andare oltre.
Dobbiamo sapere che esistono indirizzi IP pubblici e indirizzi IP privati, un tracciamento così dettagliato sarebbe possibile solo previa autorizzazione della autorità e avvalendosi di strumenti avanzati.
Come se non bastasse, noteremo che l’indirizzo IP utilizzato da Google nel test sopra andrà a sviarci, in quanto diversi servizi di Big G hanno base negli USA.
Truffe e frodi via e-mail: aspetti giuridici e criminologici
Terminata l’analisi di natura tecnica, ci dedichiamo a qualche riflessione giuridica. Ne sono passati di anni dalle prime e-mail finalizzate alla truffa e possiamo affermare che il livello medio dell’utenza è cresciuto in termini di conoscenza dei principi che governano la sicurezza informatica. Ma è proprio così? Siamo davvero certi che il nostro livello di “alfabetizzazione” in termini di sicurezza informatica sia aumentato? La risposta è positiva solo in parte.
Occorre differenziare – ad avviso di chi scrive – l’impatto che la sicurezza ha nelle varie fasce generazionali e comprendere che l’approccio alla stessa non è uguale per tutti.
Accanto a una generazione che gravita intorno o oltre i 40 anni di età e che ha vissuto in prima persona il passaggio dall’analogico/cartaceo al digitale, possiamo affermare che la stessa, nella maggior parte dei casi ha acquisito abitudini, comportamenti, allert correlati ai pericoli della rete e derivanti da un uso troppo superficiale delle nuove tecnologie.
Accanto a questa fascia, una folta schiera di individui che sin dalla nascita hanno avuto l’opportunità di relazionarsi con l’ICT, che non hanno vissuto il cambiamento perché ne erano già parte. Queste persone danno per acquisiti concetti e “verità” che per gli altri sono stati oggetto non solo di conquista socio – giuridica, ma anche di maturazione comportamentale.
La consapevolezza che la tecnologia altera la comunicazione e che la comunicazione attraverso la rete sia una potente arma di distorsione del messaggio comunicativo o dell’informazione stessa, è frutto di un cammino in termini di esperienza che alcuni individui hanno avuto il tempo di sviluppare, altri per nulla o in misura minore.
Chi ha iniziato a comunicare con i device tecnologici si trova di fronte ad un universo comunicativo amplificato (con la differenza che – per lui – questa è la normalità). Si trova di fonte ad un contesto diverso senza aver avuto il tempo di sviluppare le primarie e fondamentali difese né le basi della comunicazione “one to one” e “de visu”.
Ed è noto che le regole comunicative – relazionali cambiano e si adattano a seconda della modalità e dello strumento con cui si sviluppa il nostro rapporto di interazione con “l’altro”. Rischi di equivoci e di misunderstanding sono oggi evidenti anche nelle comunicazioni istituzionali o aziendali perpetrate attraverso le tecnologie.
E d’altronde, chi deve scrivere una e-mail oggi, ha una impostazione notevolmente differente rispetto a chi la scriveva diversi anni fa, considerato che quest’ultimo individuo considera la e-mail alla stregua di una lettera cartacea (e fa bene) dando alla stessa quel crisma di esteriorità e forma necessaria per consentire una comunicazione realmente efficace.
Ecco perché, ancora oggi, le e-mail sono utilizzate e con risultati – purtroppo – dati alla mano – “positivi”, come esca per la commissione di uno o più reati di carattere patrimoniale perpetrati attraverso lo strumento tecnologico.
L’insidia è diventata anche più articolata a causa del fatto che, il truffatore, per raggiungere il suo intento criminoso, oggi, deve superare diversi step di identificazione (fattore identità) posti dall’utente per proteggere il proprio account, la propria identità digitale et similis e per far questo, il malintenzionato deve coniugare l’utilizzo della tecnologia con quello della propria capacità di ingannare la vittima.
Utilizza, in buona sostanza, vecchie tecniche con nuovi strumenti (un falso messaggio sms, un finto link, una telefonata atta a carpire quella parte di informazioni a lui mancanti).
L’evolversi delle tecnologia costringe la criminalità a sperimentare nuovi stratagemmi adattandoli al contesto della soglia di sicurezza da superare, ed in questo caso è la formazione di base dell’individuo (vittima – target) che può attivare determinate contromisure che si aggiungono a quelle fornite dalla tecnologia stessa.
L’importanza del fattore umano
Le tecniche utilizzate dalla criminalità per carpire informazioni si sono evolute al pari della maturità media di una generazione, ma fanno ancora breccia nelle nuove generazioni con stratagemmi banali, a causa della poco conoscenza effettiva della sicurezza e della struttura di base dei tanti infiniti device messi a disposizione, della possibilità di sostituire pagine web fittizie a quelle reali, della capacità di riprodurre email apparentemente provenienti dall’operatore bancario o istituzionale con cui ci si vorrebbe relazionare. Lo verifichiamo quotidianamente ogni qual volta dobbiamo impostare margini di privacy e di interoperabilità di un nuovo device che entra in casa o in ufficio. La tendenza a concedere ogni accesso ed interoperabilità è sintomo di una poco conoscenza delle vulnerabilità che un singolo sistema semi aperto possa apportare agli altri sistemi o applicativi con cui è interconnesso.
Veniamo indottrinati su come si usa un nuovo device o un nuovo social o una nuova piattaforma come degli “utenti” (u-tonti secondo alcune scuole di pensiero) consumatori, non prendendo in considerazione l’individuo nella complessità e bellezza direi, della sua sfera cognitiva – comportamentale ed educativa al tempo stesso.
La persona posta “al centro” è ancora oggi fuori dai grandi schemi formativi – educativi e lontano dalla reale attenzione del sistema culturale – scientifico che tende, invece, a mantenerci omologati alle mere esigenze del mercato, arrivando, addirittura, ad orientare i nostri desideri. La truffa on line non è un’ipotesi, ma una realtà con cui doversi confrontare quotidianamente e da cui doversi difendere, stante l’invio massiccio ed indiscriminato di e-mail, fake news, sms, link e tanto altro, tutti finalizzati ad avere acceso a dati o informazioni correlate al conto corrente della vittima.
Non vi è da stupirsi se le ultime tendenze in tema di sicurezza conducono verso la figura aziendale del Cyber Profiling, un professionista con competenze multidisciplinari in criminologia, psicologia, diritto e tecnologie informatiche, con lo scopo di profilare gli autori degli attacchi informatici al fine di studiare e prevenire gli attacchi stessi.
Recenti ricerche riportano che gli attacchi perpetrati tramite ransomware sono purtroppo aumentati del 13% nella prima parte dell’anno in corso[1], e che le tipologie di attacco diventano sempre più sofisticate. Una professionalità multidisciplinare con riferimenti alle conoscenze di base può essere d’ausilio per la predisposizione delle contromisure da adottare al fianco degli ingegneri esperti di sicurezza. L’approccio alla sicurezza quindi non può essere monofocale, ma deve basarsi su conoscenze interdisciplinari non essendo sufficienti quelle informatiche proprio perché lo spettro oggetto di analisi e di attacco è più ampio.
Orbene, le fattispecie di reato ravvisabili in tali contesti sono prevalentemente riconducibili a due ipotesi delittuose disciplinate dal codice penale: la truffa ex. art 640 c.p. e la frode informatica ex art. 640 ter c.p. Recita il testo dell’art. 640 c.p.: “Chiunque, con artifizi o raggiri, inducendo taluno in errore, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032”.
La disciplina si ispira alla tutela del rispetto della volontà dell’individuo di autodeterminarsi nelle proprie decisioni aventi ad oggetto una disposizione di natura patrimoniale, nonché alla salvaguardia del reale processo decisionale che deve accompagnare la persona quando elabora un processo volitivo. In giurisprudenza è definita anche come “truffa contrattuale“, la fattispecie ravvisabile “tutte le volte che uno dei contraenti pone in essere artifizi o raggiri diretti a tacere o a dissimulare fatti o circostanze tali che, ove conosciuti, avrebbero indotto l’altro contraente ad astenersi dal concludere il contratto”.
I due termini da esaminare sono: artifizi e raggiri, ove per:
- Artifizi, si intende la cosiddetta “Mise en scene”, cioè la trasformazione della realtà, diretta a far ritenere come “esistente” ciò che è “inesistente”;
- Raggiri, cioè atti finalizzati ad una aggressione dell’altrui psiche, tramite un’attività menzognera ed ingegnosa.
La truffa è un reato istantaneo – di danno – che si perfeziona nel momento della “deminutio patrimonii” del soggetto passivo, cioè nel momento in cui si configura l’effettivo conseguimento del bene da parte dell’agente (autore del reato) e la definitiva perdita dello stesso in capo alla vittima.
In tali casi, il consenso al compimento di una azione o condotta da parte della vittima è stato “estorto” in modo viziato, fraudolento, in quanto la falsa prospettazione di una realtà fenomenica (ad esempio ritengo di stare accedendo al sito reale della mia banca, mentre è un sito truffa creato per carpirmi i dati di accesso) incide sul procedimento di volizione della vittima (soggetto passivo) limitandone la libertà di autodeterminazione. È la nota tecnica del phishing.
Le principali truffe contrattuali il cui input è dato da una mail, possono richiamare principi noti alla giurisprudenza classica e correlati a contesti che esulano dal piano meramente virtuale, come il caso in cui si verifichi la mancata consegna del bene che Tizio ha acquistato sul web (le cui trattative si siano perpetrate con una scambio di mail), allorché, al versamento di un acconto, non faccia seguito la consegna del bene compravenduto e il venditore risulti non più rintracciabile.
Tale circostanza evidenzia la presenza del dolo iniziale del reato, da ravvisarsi nella volontà di non adempiere all’esecuzione del contratto sin dal momento dell’offerta on-line[2].
Ancora, è interessante notare come la Corte di Cassazione abbia consentito l’applicazione, in alcuni contesti, dell’aggravante della cosiddetta “minorata difesa” al reato di truffa quando commessa on-line, ex. art. 61 n. 5 c.p. e richiamata dall’art. 640, comma 2 n. 2-bis c.p. L’aggravante in parola è configurabile quando vi è una notevole distanza fisica tra il luogo di commissione del reato, in cui si trova il reo, e quello dell’acquirente finale del prodotto. Secondo il Supremo Collegio, è proprio la distanza ad indebolire la reazione della vittima[3] cagionata dalla mancanza di contatto diretto con il responsabile.
La messa in vendita di un bene attraverso un falso sito di e-commerce costituisce un mezzo per indurre in errore i potenziali acquirenti sulle effettive intenzioni truffaldine di chi offre in vendita dei prodotti, senza alcuna intenzione reale di consegnarli.
Gli artifizi e raggiri, elementi caratterizzanti la truffa, vanno ricercati anche dall’esame del testo della e-mail e dalla complessiva condotta del “venditore”. Il fatto, ad esempio, che l’acquirente paghi in anticipo il bene restando poi in attesa della consegna lo pone in una situazione di evidente svantaggio e debolezza contrattuale rispetto alla quale esistono rimedi, se ci si rivolge a portali (intermediari) seri ed accertati, meno tutele quando il rapporto è diretto o su siti costruiti ad hoc per sviluppare truffe[4].
Nella vendita on line, il perno è costituito dall’affidamento del compratore nell’offerta del venditore che viene pubblicizzata attraverso un portale. L’acquirente non vede la merce che acquista ma si affida alle fotografie ad alle qualità descritte nella scheda del prodotto, presente in una pagina web del portale, ed alle stesse indicazioni reclamizzate dal venditore. Questo favorisce la possibilità di dar vita a quegli “artifizi e raggiri” che vanno oltre la mera esaltazione delle qualità del prodotto tipiche della pubblicità e consentite entro determinati margini.
Dalla truffa alla frode informatica
Non meno rilevante è il reato di frode informatica disciplinato dall’art. 640 ter c.p. “Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032”.
La fattispecie apre la rilevanza penale delle condotte note come phishing, vishing, pharming et similis che altrimenti (senza la norma in parola) potrebbero sfuggire ad una tipizzazione codicistica con tutte le derive che ciò comporta.
La condotta si caratterizza per l’alterazione in qualsiasi modo del funzionamento di un sistema informatico o telematico; oppure nell’intervento senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico.
È una fattispecie criminosa “aperta”, nel senso che la condotta tipica copre (senza violare i preziosi canoni giuridici di tassatività e determinatezza) ogni intervento non autorizzato sia sull’input del device oggetto dell’attacco, sia sul programma, essendo una vera e propria “manipolazione del sistema”. Il reato si consuma nel momento in cui avviene il conseguimento del profitto con altrui danno. È punibile anche il tentativo.
L’alterazione del funzionamento del sistema informatico o telematico può essere “estrinseca” al sistema (cagionata per mezzo della sostituzione del programma o con modifiche strutturali di quest’ultimo), oppure intrinseca, riconducibile in questo caso ai cosiddetti “interventi senza diritto” di cui alla seconda parte della descrizione posta in essere dall’art. 640 ter c.p. L’intervento senza diritto, con qualsiasi modalità su dati, informazioni o programmi di un sistema si verifica, ad esempio, intervenendo sul sistema operativo, così da determinare un’alterazione nel processo di elaborazione dei dati ed alla loro correlazione logica all’interno del software. In sostanza occorre, perché si parli di frode informatica, che si verifichino i seguenti passaggi: una prima alterazione del funzionamento del sistema informatico o telematico – che produce un risultato irregolare nel processo di elaborazione dei dati – che determina un atto di disposizione patrimoniale – che causa un ingiusto profitto con altrui danno.
Nell’intenzione del legislatore appare la volontà, con questo articolo, di “superare” il limite oggettivo che in alcuni contesti si sarebbe potuto verificare nell’applicare la già esistente formula dell’art. 640 c.p. nella sua indeterminatezza descrittiva rinvenibile nei termini “artifizi e raggiri”, a causa del fatto che una macchina non può subire “artifici e raggiri”[5].
La macchina risponde ad un linguaggio binario fatto di 0 ed 1. La Frode informatica ha il vantaggio di offrire una copertura normativa a quelle condotte che altrimenti sarebbero sfuggite alla tipizzazione del 640 c.p. perché l’alterazione avviene attraverso un lavoro di programmazione e di input di scrittura di codice, più che di “inganno” tradizionale.
La frode informatica è una fattispecie costruita per supplire al limite emerso dall’applicazione del 640 c.p. alle ipotesi in cui la truffa fosse perpetrata tramite strumenti informatici (software) in grado di captare malevolmente i dati della vittima.
NOTE
Dati riconducibili alla ricerca “Data Breach Investigations” di Verizon del 2022. ↑
Cass.Pen., sez. II, sent. n. 18821del 02 marzo 2017. In un altro caso similmente la Corte specifica che integra il reato di truffa contrattuale la mancata consegna della merce acquistata e pagata, nel caso in cui siano stati indicati un “prezzo conveniente” di vendita sul “web” e un falso luogo di residenza del venditore, posto che tale circostanza, rendendo difficile il rintraccio, evidenzia sintomaticamente la presenza del dolo iniziale del reato, da ravvisarsi nella volontà di non adempiere all’esecuzione del contratto sin dal momento dell’offerta on-line, Cass, Pen., Sez. 2, sent. n. 43660 del 19 luglio 2016. ↑
Cass. Pen.,sez. II, sent. n.43705 del 29 settembre 2016. ↑
Cass. Pen., sez II, sent. n. 45115 del 6 novembre 2019 in cui la Corte indica i presupposti della truffa realizzata attraverso internet ed in particolare attraverso specifici siti di e-commerce non tutti da ritenere affidabili. ↑
C. Parodi, La tutela penale dei sistemi informatici e telematici: le fattispecie penali. (Relazione presentata al Convegno Nazionale su ‘Informatica e riservatezza’ del CNUCE – Pisa 26/27 settembre 1998), qui. ↑