Questo è il mio primo articolo in questa categoria, ho deciso di parlare di una tecnica vecchia quanto internet e che ancora è molto efficace. L'argomento di questo articolo sarà: "Fake Mail" ovvero come mandare una mail con l'indirizzo che vogliamo, cioè far in modo che chi riceve la mail (destinatario) visualizzi come mittente quello che abbiamo impostato noi...
La tecnica è banale, non serve conoscere nessun linguaggio di programmazione, non serve avere alcun software in particolare; bisogna solo capire come funziona l'invio e la ricezione della posta. Attualmente esistono due metodi per ricevere e mandare posta:
- L'interfaccia web: uno va sul sito (ad es libero.it) inserisce username e password e arriva direttamente nella casella di posta dove sono contenute le mail. In questo modo l'utente non dovrà fare nessuna impostazione sul suo computer e non si accorge di tutti i passaggi intermedi;
- Tramite il client di posta che può essere Mozilla Thunderbird (penso uno dei migliori), kmail, Eudora, Outlook Espress, ecc. Il programma di posta và configurato in modo che si possa collegare sulla nostra casella di posta, praticamente gli si deve dire da dove recuperare le mail e come deve fare per poterle inviare. Per questo motivo i server di posta mettono a disposizione dei servizi (nel gergo vengono chiamati "demoni" o col nome generico server, preferisco non usare quest'ultimo termine per i servizi in quando potrebbe creare confusione) uno per poter inviare la posta e un'altro per poterla ricevere. Il demone, più usato, per poter scaricare la posta dal sito sul proprio computer si chiama "pop" (ad es. pop.libero.it), invece il demone per l'invio della posta si chiama "smtp" (ad es. smtp.libero.it). Impostati questi due parametri si può inviare e ricevere la posta tranquillamente.
In questo articolo ci soffermeremo sul secondo metodo perchè l'intoppo stà proprio là. Il programma di posta e i demoni dialogano tramite dei comandi testuali che non sono criptati, inoltre solo il demone pop ha bisogno dell'username e password per poter funzionare; da questo si capisce che chiunque può usare il demone smtp a proprio piacimento. L'utilizzo a questo punto è banalissimo: se il demone smtp accetta qualsiasi cosa come se fosse vera noi possiamo impostare il nostro client di posta con un account inventato da noi (ad es.admin@fbi.gov) come server pop possiamo lasciare in bianco o mettere uno a caso e come server smtp mettiamo uno qualsiasi (una lista si può trovare qui). Quando dobbiamo mandare la nostra "fake mail" scegliamo come mittente il nostro account finto. Bisogna precisare che funziona solo con l'invio della posta e non con la ricezione in quanto il server pop richiede username e password per poter funzionare.
Per chi ancora non avesse capito faccio un esempio elementare: siamo nel mondo reale la cassetta postale del Sign. Rossi la chiamiamo "pop", naturalmente solo il Sign. Rossi può aprire la propria pop perchè è l'unico a possedere le chiavi; invece quando il Sign. Rossi deve inviare una lettera si reca alla buca delle lettere del servizio postale che chiameremo "smtp", naturalmente non servono le chiavi dato che è una buca delle lettere pubblica. Il Sign. Rossi è un furbacchione e vuole fare uno scherzo ad un suo amico, come mittente della lettera scrive "Presidente della repubblica" si reca alla smtp vicina e l'imbuca.
Bisogna considerare una cosa però: ogni volta che colleghiamo il computer ad internet viene assegnato un indirizzo univoco che viene usato per poter comunicare. Questo indirizzo viene anche memorizzato dai demoni smtp sulla nostra "fake mail", quindi è molto rischioso fare queste operazioni con la nostra connessione. Ci sono un sacco di metodi per ovviare a questi inconvenienti, dall'utilizzo di demoni smtp anonimi sparsi per il mondo, all'utilizzo di connessioni anonime, oppure dagli internet point o dalle reti wireless aperte.