Potraktuj to jako ogłoszenie dotyczące usługi publicznej: oszuści mogą fałszować adresy e-mail. Twój program pocztowy może informować, że wiadomość pochodzi z określonego adresu e-mail, ale może pochodzić z innego adresu.
Protokoły e-mail nie weryfikują, czy adresy są legalne - oszuści, phisherzy i inne złośliwe osoby wykorzystują tę słabość w systemie. Możesz przejrzeć nagłówki podejrzanej wiadomości e-mail, aby sprawdzić, czy jej adres nie został sfałszowany.
Jak działa poczta e-mail
Oprogramowanie poczty elektronicznej wyświetla, od kogo pochodzi wiadomość e-mail w polu „Od”. Jednak w rzeczywistości weryfikacja nie jest wykonywana - oprogramowanie do obsługi poczty e-mail nie ma możliwości sprawdzenia, czy e-mail faktycznie pochodzi od tego, od kogo pochodzi. Każda wiadomość e-mail zawiera nagłówek „Od”, który można sfałszować - na przykład każdy oszust może wysłać wiadomość e-mail wyglądającą na pochodzącą z adresu [email protected]. Twój klient poczty e-mail powie Ci, że to e-mail od Billa Gatesa, ale nie ma możliwości sprawdzenia.
E-maile ze sfałszowanymi adresami mogą wyglądać na pochodzące z Twojego banku lub innej legalnej firmy. Często proszą Cię o podanie poufnych informacji, takich jak dane karty kredytowej lub numer ubezpieczenia społecznego, być może po kliknięciu linku prowadzącego do witryny wyłudzającej informacje, która wygląda na prawdziwą.
Pomyśl o polu „Od” wiadomości e-mail jako cyfrowym odpowiedniku adresu zwrotnego wydrukowanego na kopertach otrzymanych pocztą. Ogólnie rzecz biorąc, ludzie umieszczają dokładny adres zwrotny na poczcie. Jednak każdy może wpisać w polu adresu zwrotnego, co tylko zechce - usługa pocztowa nie weryfikuje, czy list rzeczywiście pochodzi z podanego na nim adresu zwrotnego.
Kiedy SMTP (prosty protokół przesyłania poczty) został zaprojektowany w latach 80. XX wieku do użytku przez środowiska akademickie i agencje rządowe, weryfikacja nadawców nie była problemem.
Jak zbadać nagłówki wiadomości e-mail
Możesz zobaczyć więcej szczegółów na temat e-maila, zagłębiając się w jego nagłówki. Te informacje znajdują się w różnych obszarach różnych klientów poczty e-mail - mogą być znane jako „źródło” lub „nagłówki” wiadomości e-mail.
(Oczywiście ogólnie dobrym pomysłem jest całkowite zignorowanie podejrzanych e-maili - jeśli w ogóle nie masz pewności co do e-maila, prawdopodobnie jest to oszustwo).
W Gmailu możesz sprawdzić te informacje, klikając strzałkę w prawym górnym rogu wiadomości e-mail i wybierając Pokaż oryginał . Spowoduje to wyświetlenie nieprzetworzonej treści e-maila.
Poniżej znajdziesz treść prawdziwej wiadomości spamowej ze sfałszowanym adresem e-mail. Wyjaśnimy, jak odszyfrować te informacje.
Dostarczone do: [MY EMAIL ADDRESS]
Otrzymano: przez 10.182.3.66 z identyfikatorem SMTP a2csp104490oba;
Sobota, 11 sierpnia 2012 15:32:15 -0700 (PDT)
Otrzymano: przez 10.14.212.72 z identyfikatorem SMTP x48mr8232338eeo.40.1344724334578;
Sobota, 11 sierpnia 2012 15:32:14 -0700 (PDT)
Return-Path: <[email protected]>
Otrzymano: z 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net [72.255.12.30])
przez mx.google.com z identyfikatorem ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Sobota, 11 sierpnia 2012 15:32:14 -0700 (PDT)
Received-SPF: neutral (google.com: 72.255.12.30 nie jest dozwolone ani zabronione na podstawie najlepszego przypuszczenia dla domeny [email protected]) client-ip = 72.255.12.30;
Wyniki uwierzytelniania: mx.google.com; spf = neutral (google.com: 72.255.12.30 nie jest dozwolone ani zabronione na podstawie najlepszego przypuszczenia dla domeny [email protected]) [email protected]
Otrzymano: przez vwidxus.net id hnt67m0ce87b dla <[MY EMAIL ADDRESS]>; Niedziela, 12 sierpnia 2012 10:01:06 -0500 (koperta-od <[email protected]>)
Otrzymano: z vwidxus.net przez web.vwidxus.net z lokalnym (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
dla [email protected]; Niedziela, 12 sierpnia 2012 10:01:06 –0500…
Od: „Canadian Pharmacy” [email protected]
Jest więcej nagłówków, ale te są ważne - pojawiają się u góry nieprzetworzonego tekstu e-maila. Aby zrozumieć te nagłówki, zacznij od dołu - te nagłówki wskazują drogę e-maila od nadawcy do Ciebie. Każdy serwer, który otrzymuje wiadomość e-mail, dodaje więcej nagłówków na górze - najstarsze nagłówki z serwerów, z których pochodzi wiadomość e-mail, znajdują się na dole.
Nagłówek „Od” na dole informuje, że wiadomość e-mail pochodzi z adresu @ yahoo.com - to tylko część informacji zawartej w wiadomości e-mail; to może być wszystko. Jednak powyżej widać, że wiadomość e-mail została najpierw odebrana przez „vwidxus.net” (poniżej), zanim dotarła do serwerów poczty e-mail Google (powyżej). To czerwona flaga - spodziewalibyśmy się, że najniższy nagłówek „Otrzymano:” na liście będzie widoczny jako jeden z serwerów poczty e-mail Yahoo!
Adresy IP, których to dotyczy, również mogą Cię podpowiedzieć - jeśli otrzymasz podejrzaną wiadomość e-mail z amerykańskiego banku, ale adres IP, z którego ją otrzymano, jest wysyłany do Nigerii lub Rosji, prawdopodobnie jest to sfałszowany adres e-mail.
W tym przypadku spamerzy mają dostęp do adresu „[email protected]”, na który chcą otrzymywać odpowiedzi na spam, ale i tak fałszują pole „Od:”. Czemu? Prawdopodobnie dlatego, że nie mogą wysyłać ogromnych ilości spamu przez serwery Yahoo! - zostaliby zauważeni i zamknięci. Zamiast tego wysyłają spam z własnych serwerów i fałszują jego adres.
