Nell’attività di analisi del Phishing abbiamo rilevato l’utilizzo del server eMail di Telegram e della loro casella di Supporto per inviare Phishing ai danni degli utenti Apple.
Nelle procedure consolidate di analisi del Phishing che svolgiamo da quattro anni lo scorso 4 Ottobre verificando una eMail di Phishing ai danni degli utenti Apple abbiamo notato l’insolito mittente “[email protected]”. Insolito perché usualmente il mittente di una eMail di Phishing viene falsificato per rendere la comunicazione ancor più veritiera con l’eMail dell’ente in oggetto. In questo caso una eMail che potrebbe ingannare maggiormente l’utente sarebbe stata: [email protected]/.com. Telegram nonostante sia nella TOP 50 delle applicazioni maggiormente scaricate nell’Apple Store non ha certamente collegamenti societari con Apple.
Analizzando successivamente l’header della mail e più precisamente i nodi di rete coinvolti si nota che la mail di Phishing è stata inviata all’effettivo mail server di Telegram da una VPS britannica ed infine consegnata al destinatario. Il server eMail di Telegram “mail.telegram.org” avente IP 149.154.167.33 risulta quindi coinvolto nell’invio di Phishing.
Anche una ulteriore analisi attraverso un Reverse DNS ci conferma che all’IP 149.154.167.33 è associato il sotto-dominio mail.telegram.org
Verificando inoltre le zone DNS del dominio telegram.org troviamo un ulteriore conferma dell’autenticità del sotto-dominio e del server sfruttato per inviare l’eMail.
Pertanto il Server Mail e un Account Mail di Telegram è stato sfruttato per inviare Phishing!
Ma come è stato possibile? Il Phisher ha ottenuto la password dell’account [email protected] e sfruttato per inviare la posta?
No, come si può vedere dall’immagine di apertura il server SMTP non era configurato correttamente e non richiedere l’autenticazione, funzionando come un Open Mail Relay!
Un Open Mail Relay è un server SMTP configurato in modo tale che permetta a chiunque di inviare eMail attraverso esso, questa era la configurazione di default nel passato dei principali server mail ma a seguito dell’utilizzo fraudolento da parte di spammer e phisher ad oggi viene normalmente chiesta l’autenticazione per l’invio di una eMail. Risultava quindi possibile inviare eMail attraverso la casella [email protected] a chiunque.
A conferma di tale ipotesi vediamo di seguito una scansione positiva eseguita con il noto software nmap e lo script per la verifica dell’Open Relay.
Abbiamo provveduto ad avvisare Telegram alle 20 del 4 Ottobre, e dopo soli 30 minuti, con grande tempestività, il team di Telegram era già intervenuto riconfigurato il loro server SMTP, rispondendo alla nostra segnalazione ringraziandoci.
I Phisher hanno usato il server SMTP per inviare Phishing, ma questa errata configurazione poteva certamente essere sfruttata per inviare comunicazioni di carattere amministrativo (Man in the Mail) o uno Spear Phishing mirato ad altri dipendenti Telegram o società che collaborano strettamente con loro.