Ostatnio ktoś zapytał mnie, czy otrzymany e-mail jest spamem. Wyglądało na to, że pochodzi ze znanego banku (Belfius.be) w Belgii. Stwierdził, że niektóre informacje były nieaktualne i że wymagają one przeglądu. Oczywiście pierwszą rzeczą, która przychodzi na myśl, jest spam. Dlaczego?
- Mnóstwo błędów w języku, złe zdania ...
- Podany link był złym linkiem: wyglądał, jakby prowadził do strony internetowej belfius (coś w rodzaju belfius.be/revision1285 ). Ale gdy najedziesz na niego myszką, zobaczysz, że faktycznie odnosi się do zupełnie innej strony internetowej. Nawet domena .ca.
Teraz od razu powiedziałem: Nie klikaj tego linku, ale coś mnie zastanawiało. E-mail nadawcy to [email protected], a belfius.be to oficjalna strona internetowa banku. Jak to może być? Jak mogą sfałszować swój adres e-mail?
Odpowiedzi:
Prosty. Poprzez edycję
From:
nagłówka podczas wysyłania wiadomości. Nazywa się to „fałszowaniem wiadomości e-mail” . Nagłówek From: można łatwo edytować, jeśli wysyłasz pocztę przez PHP lub coś w tym stylu, nie są wymagane żadne wymyślne sztuczki. Tym, czego nie można edytować, jest jednak adres IP / nazwa domeny witryny, z której pochodzi. Jeśli zaznaczysz wiadomość e-mail w postaci zwykłego tekstu (w Gmailu przejdź do menu obok przycisku odpowiedzi i „pokaż oryginalną wiadomość”),Received:
nagłówki przenoszą wszystkie informacje o ścieżce (im głębiej wReceived:
nagłówku, tym dalej w łańcuch e-mail to). Pamiętaj, że wiadomość e-mail przesyłana przez wiele przeskoków może również sfałszować niektóre z głębszych nagłówków. Musisz zejść w dół, sprawdzając, którym nagłówkom (tj. Witrynom) ufasz.Received: from abc.com (IP address) by something.google.com (IP)
(zakładając, że masz Gmaila - w przeciwnym razieby
będzie inaczej). Teraz ten nagłówek został napisany przezby
część. Zacznij od góry, kilka pierwszychReceived:
nagłówków nie będzie miałofrom
/by
. Znajdź pierwszy z nich. Jegoby
będzie należąca do operatora e-mail - co można zaufać. Sprawdź, czy ufaszfrom
, a jeśli tak, przejdź do następnegoReceived:
nagłówka (któremu teraz ufasz) i tak dalej. Jeśli nie ufasz nagłówkowi pomiędzy, nie możesz ufać wszystkim znajdującym się poniżej nagłówkom - mogły zostać sfałszowane.Gmail zazwyczaj wykrywa jednak fałszowanie i umieszcza w e-mailu rodzaj „[email protected] via [email protected]”. Pamiętaj, że fałszowanie wiadomości e-mail jest całkowicie uzasadnione - wiele list mailingowych fałszuje wiadomości e-mail w celu zapewnienia płynniejszego działania. Więc zrób pewne fora / fora dyskusyjne. Tutaj wysyłają wiadomość e-mail, aby wyglądała, jakby pochodziła z oryginalnego plakatu.
Reply-To:
Nagłówek jest ustawiony na listy / webapp / cokolwiek email id, więc odpowiadając na nim będzie domyślnie przejść do listy (/ etc). Lista może sobie z tym poradzić, jeśli uzna to za stosowne - może sprawdzić, czy nie zawiera spamu, może zawiesić moderację itp. Gdy chce ją wysłać, sfałszuje twój adres i wyśle go do wszystkich na liście (co jest dokładnie tym, czego chciałeś - aby móc prowadzić dyskusje za pośrednictwem poczty e-mail bez użycia opcji „Odpowiedz wszystkim”To, co robią „uzasadnione” spoofery, polega na tym, że ustawiają
Sender:
nagłówek na swój własny identyfikator. To znaczy „Wysłane przezSender
w imieniuFrom
”. Zauważ, że obecnośćSender:
nagłówka nic nie znaczy, jeśli chodzi o „nielegalne” fałszowanie - ten nagłówek również jest podatny na fałszowanie. Tak jak powiedziałem, jedynym sposobem sprawdzenia jestReceived
użycie nagłówków.źródło
The Wailing List [email protected] via mail17.us2.mcsv.net
zarówno subdomeny mail # jak i nam # różnią się w zależności od wiadomości. Mam kilka innych subskrypcji z podobnymi problemami z ich zewnętrznych usług pocztowych.Alice <[email protected]> via [email protected]
Używanie fałszywego adresu „z” jest banalne. Początkującym sposobem jest po prostu edycja ustawień w kliencie poczty i zmiana domyślnej z adresu. Wielu dostawców usług wyśle wiadomość e-mail z fałszywą wiadomością z pola, ponieważ serwer e-mail nie wie, jaki jest prawdziwy.
Spamerzy używają dedykowanego oprogramowania niestandardowego i zawsze używają fałszywych adresów.
źródło