If-Koubou

Cum Scammers forge adrese de e-mail, și cum puteți spune

Cum Scammers forge adrese de e-mail, și cum puteți spune (Cum să)

Luați în considerare acest lucru un anunț de serviciu public: Scammers pot forge adrese de e-mail. Programul dvs. de e-mail poate spune că un mesaj este de la o anumită adresă de e-mail, dar poate fi de la o altă adresă în întregime.

Protocoalele de e-mail nu verifică dacă adresele sunt legitime - escrocii, phiserii și alte persoane răuvoitoare exploatează această slăbiciune în sistem. Puteți examina antetele unui e-mail suspect pentru a vedea dacă adresa sa a fost confecționată.

Cum functioneaza e-mailul

Software-ul dvs. de e-mail afișează cine este un e-mail din câmpul "De la". Cu toate acestea, nici o verificare nu este de fapt efectuată - software-ul dvs. de e-mail nu are nici un fel de a ști dacă un e-mail este, de fapt, de la care spune că este de la. Fiecare e-mail include un antet "De la", care poate fi falsificat - de exemplu, orice escroc ar putea să vă trimită un e-mail care pare să fie de la adresa [email protected]. Clientul tău de e-mail ți-ar spune că e un e-mail de la Bill Gates, dar nu are nicio modalitate de a verifica.

E-mailurile cu adrese forjate pot părea să fie de la bancă sau de la o altă companie legitimă. Ele vă vor cere adesea informații sensibile, cum ar fi informațiile despre cartea dvs. de credit sau numărul de securitate socială, probabil după ce faceți clic pe un link care duce la un site de phishing conceput să pară un site legitim.

Gândiți-vă la câmpul "Din" al unui e-mail ca echivalentul digital al adresei de întoarcere imprimate pe plicurile primite prin poștă. În general, oamenii au pus o adresă exactă de retur pe poștă. Cu toate acestea, oricine poate scrie orice vrea în câmpul adresei de retur - serviciul poștal nu verifică dacă o literă este de fapt de la adresa de retur imprimată pe ea.

Când SMTP (protocolul simplu de transfer de mail) a fost conceput în anii 1980 pentru a fi utilizat de către mediul academic și agențiile guvernamentale, verificarea expeditorilor nu a fost o preocupare.

Cum să investighezi antetele unui e-mail

Puteți vedea mai multe detalii despre un e-mail prin săparea în antetele e-mailului. Aceste informații sunt situate în diferite zone în diferiți clienți de e-mail - pot fi cunoscuți sub numele de "sursă" sau "anteturi" ale e-mailului.

(Desigur, este, în general, o idee bună să ignorați în întregime e-mailurile suspecte - dacă nu sunteți sigur de un e-mail, este probabil o înșelătorie.)

În Gmail, puteți examina aceste informații dând clic pe săgeata din colțul din dreapta sus al unui e-mail și selectând Afișați originalul. Aceasta afișează conținutul brut al e-mailului.

Mai jos veți găsi conținutul unui e-mail spam real cu o adresă de e-mail falsificată. Vom explica cum să decodifice aceste informații.

Livrat la: [ADRESA EMAILULUI MEU]
Primit: de 10.182.3.66 cu id SMTP a2csp104490oba;
Sâm, 11 Aug 2012 15:32:15 -0700 (PDT)
Primit: de 10.14.212.72 cu id SMTP x48mr8232338eeo.40.1344724334578;
Sâm, 11 Aug 2012 15:32:14 -0700 (PDT)
Calea de intoarcere:
Primit: de la 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net [72.255.12.30])
de la mx.google.com cu ESMTP id c41si1698069eem.38.2012.08.11.15.32.13;
Sâm, 11 Aug 2012 15:32:14 -0700 (PDT)
Received-SPF: neutru (google.com: 72.255.12.30 nu este nici permisă, nici refuzată de cea mai bună înregistrare pentru domeniul [email protected]) client-ip = 72.255.12.30;
Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 72.255.12.30 nu este permisă și nici refuzată de cea mai bună înregistrare pentru domeniul [email protected]) [email protected]
Primit: de către vwidxus.net id hnt67m0ce87b pentru; Duminică, 12 Aug 2012 10:01:06 -0500 (plic de la)
Primit: de la vwidxus.net de către web.vwidxus.net cu local (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
pentru [email protected]; Soare, 12 Aug 2012 10:01:06 -0500

Din: "Farmacie canadiană" [email protected]

Există mai multe titluri, însă acestea sunt cele importante - apar în partea de sus a textului brut al e-mailului. Pentru a înțelege aceste antete, începeți din partea de jos - aceste antete urmăresc ruta e-mailului de la expeditorul dvs. către dvs. Fiecare server care primește e-mailurile adaugă mai multe antete în partea de sus - cele mai vechi antete de pe serverele unde au început e-mailurile sunt situate în partea de jos.

Antetul "De la" din partea de jos susține că e-mailul este de la o adresă @ yahoo.com - aceasta este doar o informație inclusă în e-mail; ar putea fi orice. Totuși, deasupra acesteia, putem vedea că e-mailul a fost primit pentru prima oară de către "vwidxus.net" (mai jos) înainte de a fi primit de serverele de e-mail Google (de mai sus). Acesta este un steag roșu - ne așteptăm să vedeți cel mai mic antet "Received:" din listă ca unul dintre serverele de e-mail ale Yahoo !.

Adresele IP implicate vă pot sugera, de asemenea, în cazul în care primiți un e-mail suspect de la o bancă americană, dar adresa IP a fost primită de la rezolvarea problemelor din Nigeria sau Rusia, probabil o adresă de e-mail falsificată.

În acest caz, spam-eii au acces la adresa "[email protected]", unde doresc să primească răspunsuri la spam-ul lor, dar fac oricum câmpul "From:". De ce? Probabil pentru că nu pot trimite cantități masive de spam prin serverele Yahoo! - ar fi observat și vor fi închise. În schimb, trimit spam de pe serverele proprii și își forțează adresa.