W jaki sposób oszuści fałszują adresy e-mail i jak można to określić
Rozważ to ogłoszenie o usługach publicznych: Oszuści mogą fałszować adresy e-mail. Twój program pocztowy może powiedzieć, że wiadomość pochodzi z określonego adresu e-mail, ale może pochodzić z innego adresu.
Protokoły poczty e-mail nie sprawdzają poprawności adresów - oszust, phisherzy i inne złośliwe osoby wykorzystują tę słabość systemu. Możesz sprawdzić nagłówki podejrzanych wiadomości e-mail, aby sprawdzić, czy ich adres został sfałszowany.
Jak działa poczta e-mail
Oprogramowanie poczty e-mail wyświetla, kto jest e-mailem w polu "Od". Jednak żadna weryfikacja nie jest przeprowadzana - oprogramowanie poczty e-mail nie ma możliwości sprawdzenia, czy wiadomość e-mail pochodzi od osoby, z której pochodzi. Każda wiadomość e-mail zawiera nagłówek "Od", który można sfałszować - na przykład każdy oszust może wysłać wiadomość e-mail, która wydaje się pochodzić z adresu [email protected]. Twój klient pocztowy powie Ci, że to e-mail od Billa Gatesa, ale nie ma możliwości sprawdzenia.
E-maile z fałszywymi adresami mogą wydawać się pochodzić z Twojego banku lub innej legalnej firmy. Często pytają Cię o poufne informacje, takie jak informacje o karcie kredytowej lub numer ubezpieczenia społecznego, po kliknięciu linku prowadzącego do witryny phishingowej, która ma wyglądać jak prawdziwa witryna internetowa.
Pomyśl o polu "Od" e-maila jako cyfrowym odpowiedniku adresu zwrotnego wydrukowanego na kopertach otrzymanych pocztą. Ogólnie rzecz biorąc, ludzie umieszczają dokładny adres zwrotny na poczcie. Jednak każdy może napisać cokolwiek, co mu się podoba w polu adresu zwrotnego - usługa pocztowa nie sprawdza, czy list rzeczywiście znajduje się na wydrukowanym na nim adresie zwrotnym.
Kiedy SMTP (prosty protokół przesyłania poczty) został zaprojektowany w latach 80. do użytku przez akademie i agencje rządowe, weryfikacja nadawców nie była problemem.
Jak zbadać nagłówki wiadomości e-mail
Więcej szczegółowych informacji o e-mailu można znaleźć w nagłówkach wiadomości e-mail. Informacje te znajdują się w różnych obszarach w różnych klientach poczty e-mail - mogą być znane jako "źródła" lub "nagłówki" e-maila.
(Oczywiście dobrym pomysłem jest całkowite zignorowanie podejrzanych wiadomości e-mail - jeśli w ogóle nie masz pewności co do wiadomości e-mail, prawdopodobnie jest to oszustwo).
W Gmailu możesz sprawdzić te informacje, klikając strzałkę w prawym górnym rogu wiadomości e-mail i wybierając Pokaż oryginał. Spowoduje to wyświetlenie nieprzetworzonej zawartości wiadomości e-mail.
Poniżej znajdziesz treść wiadomości e-mail ze spamem o podrobionym adresie e-mail. Wyjaśnimy, jak rozszyfrować te informacje.
Dostarczono do: [MÓJ ADRES E-MAIL]
Otrzymano: do 10.182.3.66 z identyfikatorem SMTP a2csp104490oba;
So, 11 sierpnia 2012 15:32:15 -0700 (PDT)
Otrzymano: 10.14.212.72 z identyfikatorem SMTP x48mr8232338eeo.40.1344724334578;
So, 11 sierpnia 2012 15:32:14 -0700 (PDT)
Ścieżka powrotna:
Otrzymano: od 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
na stronie mx.google.com z identyfikatorem ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
So, 11 sierpnia 2012 15:32:14 -0700 (PDT)
Received-SPF: neutral (google.com: 72.255.12.30 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected]) client-ip = 72.255.12.30;
Uwierzytelnianie - wyniki: mx.google.com; spf = neutral (google.com: 72.255.12.30 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected]) [email protected]
Otrzymano: przez vwidxus.net id hnt67m0ce87b dla; Niedz, 12 sierpnia 2012 10:01:06 -0500 (koperta z)
Otrzymano: z vwidxus.net przez web.vwidxus.net z lokalnym (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
dla [email protected]; Niedziela, 12 sierpnia 2012 10:01:06 -0500...
Od: "Canadian Pharmacy" [email protected]
Jest więcej nagłówków, ale są to najważniejsze - pojawiają się u góry nieprzetworzonego tekstu wiadomości e-mail. Aby zrozumieć te nagłówki, zacznij od dołu - te nagłówki śledzą trasę wiadomości e-mail od nadawcy do Ciebie. Każdy serwer, który otrzymuje wiadomość e-mail, dodaje do nagłówka więcej nagłówków - najstarsze nagłówki z serwerów, na których wiadomość e-mail została uruchomiona, znajdują się u dołu.
Nagłówek "Od" na dole twierdzi, że wiadomość e-mail pochodzi z adresu @ yahoo.com - jest to po prostu informacja zawarta w wiadomości e-mail; to może być cokolwiek. Jednak powyżej tego widać, że wiadomość e-mail została najpierw odebrana przez "vwidxus.net" (poniżej), zanim została odebrana przez serwery poczty e-mail Google (powyżej). To jest czerwona flaga - możemy się spodziewać, że najniższy nagłówek "Otrzymano:" na liście jako jeden z serwerów poczty Yahoo!.
Adresy IP, o których mowa, mogą również cię wtrącić - jeśli otrzymasz podejrzaną wiadomość e-mail od amerykańskiego banku, ale adres IP, z którego została odebrana, zostanie przekazana do Nigerii lub Rosji, to prawdopodobnie podrobiony adres e-mail.
W tym przypadku spamerzy mają dostęp do adresu "[email protected]", gdzie chcą otrzymywać odpowiedzi na ich spam, ale i tak wykuwają pole "Od:". Czemu? Prawdopodobnie, ponieważ nie mogą wysyłać dużych ilości spamu za pośrednictwem serwerów Yahoo! - zostaną zauważeni i wyłączeni. Zamiast tego wysyłają spam ze swoich serwerów i fałszują jego adres.