Як шахраї підробляють адреси електронної пошти, і як ви можете розповісти

Розглянемо це як оголошення про громадські послуги: шахраї можуть підробляти адреси електронної пошти. Ваша програма електронної пошти може сказати, що повідомлення з певної адреси електронної пошти, але це може бути з іншої адреси повністю.

Протоколи електронної пошти, які не перевіряють адреси, є законними - шахраї, фішери та інші шкідливі особи використовують цю слабкість в системі. Ви можете ознайомитися з заголовками підозрілої електронної пошти, щоб дізнатися, чи була її підроблена.

Як працює електронна пошта

Програмне забезпечення електронної пошти відображає, хто з електронного листа знаходиться у полі «Від». Однак, фактично не виконується жодна перевірка - ваше програмне забезпечення електронної пошти не має можливості дізнатися, чи є насправді електронна пошта від кого вона каже. Кожна електронна пошта містить заголовок "Від", який можна підробити - наприклад, будь-який шахрая може надіслати вам повідомлення електронної пошти, яке здається з [email protected]. Ваш поштовий клієнт повідомить вам, що це електронний лист від Білла Гейтса, але він не має можливості перевірити його.

Електронні листи з підробленими адресами можуть здаватися з вашого банку або іншого законного бізнесу. Вони часто запитують вас про конфіденційну інформацію, наприклад, інформацію про кредитну картку або номер соціального страхування, можливо, після натискання посилання, яке призводить до фішингового сайту, який має виглядати як законний веб-сайт.

Подумайте про поле "Від" електронної пошти як цифровий еквівалент зворотної адреси, надрукованої на конвертах, які ви отримуєте поштою. Як правило, люди розміщують точну зворотну адресу на пошті. Проте в полі "Адреса зворотного зв'язку" кожен бажаючий може написати що завгодно, але поштова служба не перевіряє, чи дійсно лист з повернутої на нього адреси.

Коли SMTP (простий протокол передачі пошти) був розроблений у 1980-х для використання науковими установами та урядовими установами, перевірка відправників не викликала занепокоєння.

Як досліджувати заголовки електронної пошти

Докладнішу інформацію про електронну пошту можна побачити, занурившись у заголовки електронної пошти. Ця інформація розташована в різних областях в різних поштових клієнтах - вона може бути відома як "джерело" або "заголовки" електронної пошти.

(Звичайно, непотрібно повністю ігнорувати підозрілі електронні листи - якщо ви взагалі не впевнені в електронному листі, це, мабуть, афера.)

У Gmail цю інформацію можна переглянути, натиснувши стрілку у верхньому правому куті електронної пошти та вибравши Показати оригінал. Тут відображається вміст електронної пошти.

Нижче ви знайдете вміст фактичної електронної пошти зі спамом з підробленою електронною адресою. Пояснимо, як розшифрувати цю інформацію.

Доставлено до: [МОЯ ЕЛЕКТРОННА АДРЕСА]
Отримано: 10.182.3.66 з ідентифікатором SMTP a2csp104490oba;
Сб, 11 серпня 2012 15:32:15 -0700 (PDT)
Отримано: 10.14.212.72 з ідентифікатором SMTP x48mr8232338eeo.40.1344724334578;
Сб, 11 серпня 2012 15:32:14 -0700 (PDT)
Шлях повернення:
Отримано: від 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
від mx.google.com з ідентифікатором ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Сб, 11 серпня 2012 15:32:14 -0700 (PDT)
Отриманий-SPF: нейтральний (google.com: 72.255.12.30 не дозволений, ані не заперечений записом домену [email protected]) client-ip = 72.255.12.30;
Результати аутентифікації: mx.google.com; spf = neutral (google.com: 72.255.12.30 не дозволяється, ані забороняється записом домену [email protected]) [email protected]
Отримано: vwidxus.net id hnt67m0ce87b для; Sun, 12 Aug 2012 10:01:06 -0500 (конверт-з)
Отримано: від vwidxus.net на web.vwidxus.net з локальним (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
для [email protected]; Нд, 12 серпня 2012 10:01:06 -0500

…

З: «Канадська аптека» [email protected]

Є більше заголовків, але це важливі - вони відображаються у верхній частині вихідного тексту електронної пошти. Щоб зрозуміти ці заголовки, почніть знизу - ці заголовки відстежують маршрут електронної пошти від відправника до вас. Кожен сервер, який отримує електронне повідомлення, додає додаткові заголовки до верхньої частини - найстаріші заголовки з серверів, на яких розпочато електронне повідомлення, розташоване внизу.

Заголовок "З" внизу стверджує, що електронна пошта знаходиться з адреси @ yahoo.com - це лише частина інформації, включеної до електронної пошти; це може бути що завгодно. Проте, вище, ми бачимо, що повідомлення електронної пошти вперше було отримано “vwidxus.net” (нижче), перш ніж його отримали електронні сервери Google (вище). Це червоний прапор - ми очікуємо, що найменший заголовок "Received:" у списку буде одним з серверів електронної пошти Yahoo!.

Залучені IP-адреси можуть також вказати, що ви - якщо ви отримали підозрілу електронну пошту від американського банку, але IP-адреса, отримана від розв'язання до Нігерії або Росії, ймовірно, є підробленою електронною адресою.

У цьому випадку спамери мають доступ до адреси "[email protected]", де вони хочуть отримувати відповіді на свій спам, але вони все одно формують поле "З:". Чому? Швидше за все, тому що вони не можуть надсилати величезну кількість спаму через сервери Yahoo !, вони будуть помічені і будуть закриті. Натомість вони надсилають спам зі своїх серверів і формують його адресу.