Jak podrobić adres e-mail?

56

Ostatnio ktoś zapytał mnie, czy otrzymany e-mail jest spamem. Wyglądało na to, że pochodzi ze znanego banku (Belfius.be) w Belgii. Stwierdził, że niektóre informacje były nieaktualne i że wymagają one przeglądu. Oczywiście pierwszą rzeczą, która przychodzi na myśl, jest spam. Dlaczego?

  • Mnóstwo błędów w języku, złe zdania ...
  • Podany link był złym linkiem: wyglądał, jakby prowadził do strony internetowej belfius (coś w rodzaju belfius.be/revision1285 ). Ale gdy najedziesz na niego myszką, zobaczysz, że faktycznie odnosi się do zupełnie innej strony internetowej. Nawet domena .ca.

Teraz od razu powiedziałem: Nie klikaj tego linku, ale coś mnie zastanawiało. E-mail nadawcy to [email protected], a belfius.be to oficjalna strona internetowa banku. Jak to może być? Jak mogą sfałszować swój adres e-mail?

Bram Vanroy
źródło
2
Ten rodzaj wiadomości e-mail jest ogólnie znany jako phishing, który może być uważany za spam, chociaż uważam, że spam jest bardziej nieszkodliwy i próbuje sprzedawać ci rzeczy, a nie uzyskiwać dostępu do konta (kont).
RD
37
Mogę wysłać do ciebie list z informacją, że pochodzi od Świętego Mikołaja. Jedynym upominkiem będzie stempel pocztowy z Kalifornii. Tak samo jest z pocztą e-mail, mniej więcej.
David Schwartz
1
Zarówno polecenie SMIL MAIL FROM, jak i pole nagłówka Poczta IMF mogą zawierać sfałszowane adresy.
james.garriss
1
Spróbuj sam: deadfake.com/Send.aspx
Mark E. Haase

Odpowiedzi:

79

Prosty. Poprzez edycję From:nagłówka podczas wysyłania wiadomości. Nazywa się to „fałszowaniem wiadomości e-mail” . Nagłówek From: można łatwo edytować, jeśli wysyłasz pocztę przez PHP lub coś w tym stylu, nie są wymagane żadne wymyślne sztuczki. Tym, czego nie można edytować, jest jednak adres IP / nazwa domeny witryny, z której pochodzi. Jeśli zaznaczysz wiadomość e-mail w postaci zwykłego tekstu (w Gmailu przejdź do menu obok przycisku odpowiedzi i „pokaż oryginalną wiadomość”), Received:nagłówki przenoszą wszystkie informacje o ścieżce (im głębiej w Received:nagłówku, tym dalej w łańcuch e-mail to). Pamiętaj, że wiadomość e-mail przesyłana przez wiele przeskoków może również sfałszować niektóre z głębszych nagłówków. Musisz zejść w dół, sprawdzając, którym nagłówkom (tj. Witrynom) ufasz.Received: from abc.com (IP address) by something.google.com (IP)(zakładając, że masz Gmaila - w przeciwnym razie bybędzie inaczej). Teraz ten nagłówek został napisany przez byczęść. Zacznij od góry, kilka pierwszych Received:nagłówków nie będzie miało from/ by. Znajdź pierwszy z nich. Jego bybędzie należąca do operatora e-mail - co można zaufać. Sprawdź, czy ufasz from, a jeśli tak, przejdź do następnego Received:nagłówka (któremu teraz ufasz) i tak dalej. Jeśli nie ufasz nagłówkowi pomiędzy, nie możesz ufać wszystkim znajdującym się poniżej nagłówkom - mogły zostać sfałszowane.

Gmail zazwyczaj wykrywa jednak fałszowanie i umieszcza w e-mailu rodzaj „[email protected] via [email protected]”. Pamiętaj, że fałszowanie wiadomości e-mail jest całkowicie uzasadnione - wiele list mailingowych fałszuje wiadomości e-mail w celu zapewnienia płynniejszego działania. Więc zrób pewne fora / fora dyskusyjne. Tutaj wysyłają wiadomość e-mail, aby wyglądała, jakby pochodziła z oryginalnego plakatu. Reply-To:Nagłówek jest ustawiony na listy / webapp / cokolwiek email id, więc odpowiadając na nim będzie domyślnie przejść do listy (/ etc). Lista może sobie z tym poradzić, jeśli uzna to za stosowne - może sprawdzić, czy nie zawiera spamu, może zawiesić moderację itp. Gdy chce ją wysłać, sfałszuje twój adres i wyśle ​​go do wszystkich na liście (co jest dokładnie tym, czego chciałeś - aby móc prowadzić dyskusje za pośrednictwem poczty e-mail bez użycia opcji „Odpowiedz wszystkim”

To, co robią „uzasadnione” spoofery, polega na tym, że ustawiają Sender:nagłówek na swój własny identyfikator. To znaczy „Wysłane przez Senderw imieniu From”. Zauważ, że obecność Sender:nagłówka nic nie znaczy, jeśli chodzi o „nielegalne” fałszowanie - ten nagłówek również jest podatny na fałszowanie. Tak jak powiedziałem, jedynym sposobem sprawdzenia jest Receivedużycie nagłówków.

Manishearth
źródło
5
Dziękuję Ci! A także dziękuję za to ostatnie zgodne z prawem wykorzystanie. Bardzo informujące!
Bram Vanroy
W jaki sposób fałszowanie ma poprawić wrażenia. Jedyny wpływ, jaki na to napotkałem, jest negatywny. Program Outlook skutecznie nie pozwala mi dodawać wiadomości do białej listy (do automatycznego pobierania obrazu), ponieważ każda z nich pochodzi z innego adresu [email protected].
Dan Neely
1
@ DanNeely: Cóż, bez fałszowania, wszystkie e-maile wydają się pochodzić z [email protected]. Robi się mylące, kiedy chcesz kogoś na PM, i trudno jest śledzić, z kim rozmawiasz. Fałszowanie sprawia wrażenie, jakbyś właśnie rozmawiał z grupą ludzi, z tym wyjątkiem, że lista mailingowa jest jednostką pośrednią (niezbędną do archiwizacji i moderacji). Co masz na myśli mówiąc, że każdy pochodzi z innej listy mailingowej? To prawdopodobnie tylko konkretna lista.
Manishearth
@Manishearth Myślałem o „liście lamentów” rozpaczy (technicznie mail marketingowy, ale subskrybuję ją ze względu na wartość humoru). Jestem w pracy, więc nie mogę skopiować tego, co dostaję w domu; ale Gmail pokazuje to jako ex, The Wailing List [email protected] via mail17.us2.mcsv.net zarówno subdomeny mail # jak i nam # różnią się w zależności od wiadomości. Mam kilka innych subskrypcji z podobnymi problemami z ich zewnętrznych usług pocztowych.
Dan Neely,
@ Dan Zazwyczaj używasz fałszowania, np.Alice <[email protected]> via [email protected]
Stop Harming Monica
11

Używanie fałszywego adresu „z” jest banalne. Początkującym sposobem jest po prostu edycja ustawień w kliencie poczty i zmiana domyślnej z adresu. Wielu dostawców usług wyśle ​​wiadomość e-mail z fałszywą wiadomością z pola, ponieważ serwer e-mail nie wie, jaki jest prawdziwy.

Spamerzy używają dedykowanego oprogramowania niestandardowego i zawsze używają fałszywych adresów.

Peter Jenkins
źródło