Cum Scammers forge adrese de e-mail, și cum puteți spune
Luați în considerare acest lucru un anunț de serviciu public: Scammers pot forge adrese de e-mail. Programul dvs. de e-mail poate spune că un mesaj este de la o anumită adresă de e-mail, dar poate fi de la o altă adresă în întregime.
Protocoalele de e-mail nu verifică dacă adresele sunt legitime - escrocii, phiserii și alte persoane răuvoitoare exploatează această slăbiciune în sistem. Puteți examina antetele unui e-mail suspect pentru a vedea dacă adresa sa a fost confecționată.
Cum functioneaza e-mailul
Software-ul dvs. de e-mail afișează cine este un e-mail din câmpul "De la". Cu toate acestea, nici o verificare nu este de fapt efectuată - software-ul dvs. de e-mail nu are nici un fel de a ști dacă un e-mail este, de fapt, de la care se spune că este de la. Fiecare e-mail include un antet "De la", care poate fi falsificat - de exemplu, orice escroc ar putea să vă trimită un e-mail care pare a fi de la [email protected]. Clientul dvs. de e-mail vă va spune că acesta este un e-mail de la Bill Gates, dar nu are nicio modalitate de a verifica efectiv.
E-mailurile cu adrese forjate pot părea să fie de la bancă sau de la o altă companie legitimă. Vă vor cere adesea informații sensibile, cum ar fi informațiile despre cartea dvs. de credit sau numărul de securitate socială, probabil după ce faceți clic pe un link care duce la un site de phishing conceput să pară un site legitim.
Gândiți-vă la câmpul "Din" al unui e-mail ca echivalentul digital al adresei de retur imprimate pe plicurile primite prin poștă. În general, oamenii au pus o adresă de retur exactă pe e-mail. Cu toate acestea, oricine poate scrie orice vrea în câmpul adresei de retur - serviciul poștal nu verifică dacă o literă este de fapt de la adresa de retur imprimată pe ea.
Atunci când SMTP (protocolul simplu de transfer de mail) a fost conceput în anii 1980 pentru a fi utilizat de către mediul academic și agențiile guvernamentale, verificarea expeditorilor nu a fost o problemă.
Cum să investighezi antetele unui e-mail
Puteți vedea mai multe detalii despre un e-mail prin săparea în antetele e-mailului. Aceste informații se găsesc în diferite zone în diferiți clienți de e-mail - pot fi cunoscuți sub numele de "sursă" sau "anteturi" ale e-mailului.
(Desigur, este, în general, o idee bună să ignorați în întregime e-mailurile suspecte - dacă nu sunteți sigur de un e-mail, este probabil o înșelătorie.)
În Gmail, puteți examina aceste informații făcând clic pe săgeata din colțul din dreapta sus al unui e-mail și selectând Afișați originalul. Aceasta afișează conținutul brut al e-mailului.
Mai jos veți găsi conținutul unui e-mail spam real cu o adresă de e-mail falsificată. Vom explica cum să decodifice aceste informații.
Livrat la: [ADRESA E-MAILULUI MEU]
Primit: de 10.182.3.66 cu id SMTP a2csp104490oba;
Sâm, 11 Aug 2012 15:32:15 -0700 (PDT)
Primit: de 10.14.212.72 cu id SMTP x48mr8232338eeo.40.1344724334578;
Sâm, 11 Aug 2012 15:32:14 -0700 (PDT)
Calea de intoarcere:
Primit: de la 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net [72.255.12.30])
de către mx.google.com cu ESMTP id c41si1698069eem.38.2012.08.11.15.32.13;
Sâm, 11 Aug 2012 15:32:14 -0700 (PDT)
Received-SPF: neutru (google.com: 72.255.12.30 nu este nici permis, nici refuzat de cea mai bună înregistrare de ghici pentru domeniul [email protected]) client-ip = 72.255.12.30;
Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 72.255.12.30 nu este permisă și nici refuzată de cea mai bună înregistrare pentru domeniul [email protected]) [email protected]
Primit: de către vwidxus.net id hnt67m0ce87b pentru; Dum, 12 Aug 2012 10:01:06 -0500 (plicul-de la)
Primit: de la vwidxus.net de către web.vwidxus.net cu local (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
pentru [email protected]; Dum, 12 Aug 2012 10:01:06 -0500...
Din: "Farmacie canadiană" [email protected]
Există mai multe titluri, dar acestea sunt cele importante - apar în partea de sus a textului brut al e-mailului. Pentru a înțelege aceste antete, începeți din partea de jos - aceste antete urmăresc traseul e-mailului de la expeditorul dvs. către dvs. Fiecare server care primește e-mailurile adaugă mai multe anteturi în partea de sus - cele mai vechi anteturi de pe serverele în care au început e-mailurile sunt situate în partea de jos.
Antetul "De la" din partea de jos susține că e-mailul este de la o adresă @ yahoo.com - aceasta este doar o informație inclusă în e-mail; ar putea fi ceva. Cu toate acestea, deasupra, putem vedea că e-mailul a fost primit mai întâi de către "vwidxus.net" (mai jos) înainte de a fi primit de serverele de e-mail Google (de mai sus). Acesta este un steag roșu - ne așteptăm să vedeți cel mai mic antet "Received:" din listă ca unul dintre serverele de e-mail ale Yahoo!.
Adresele IP implicate vă pot sugera, de asemenea, în cazul în care primiți un e-mail suspect de la o bancă americană, dar adresa IP a fost primită de la rezolvarea problemei în Nigeria sau Rusia, probabil o adresă de e-mail falsificată.
În acest caz, spam-eii au acces la adresa "[email protected]", unde doresc să primească răspunsuri la spam-ul lor, dar fac oricum câmpul "From:". De ce? Probabil pentru că nu pot trimite cantități masive de spam prin serverele Yahoo! - ei ar fi observat și vor fi închise. În schimb, trimit spam de la serverele proprii și își forțează adresa.