Luați în considerare acest lucru ca un anunț de serviciu public: escrocii pot falsifica adrese de e-mail. Programul dvs. de e-mail poate spune că un mesaj provine de la o anumită adresă de e-mail, dar poate fi de la o altă adresă în întregime.
Protocoalele de e-mail nu verifică că adresele sunt legitime - escrocii, phisherii și alte persoane rău intenționate exploatează această slăbiciune din sistem. Puteți examina anteturile unui e-mail suspect pentru a vedea dacă adresa acestuia a fost falsificată.
Cum funcționează e-mailul
Software-ul dvs. de e-mail afișează de la cine este un e-mail în câmpul „De la”. Cu toate acestea, nu se efectuează nicio verificare - software-ul dvs. de e-mail nu are cum să știe dacă un e-mail provine de la cine spune că provine. Fiecare e-mail include un antet „De la”, care poate fi falsificat - de exemplu, orice escroc ar putea să vă trimită un e-mail care pare a fi de la [email protected]. Clientul dvs. de e-mail vă va spune că acesta este un e-mail de la Bill Gates, dar nu are nicio modalitate de a verifica efectiv.
E-mailurile cu adrese falsificate pot părea de la banca dvs. sau de la o altă companie legitimă. Adesea vă vor solicita informații sensibile, cum ar fi informațiile despre cardul dvs. de credit sau numărul de securitate socială, probabil după ce faceți clic pe un link care duce la un site de phishing conceput să arate ca un site legitim.
Gândiți-vă la câmpul „De la” al unui e-mail ca la echivalentul digital al adresei de returnare tipărite pe plicurile pe care le primiți prin poștă. În general, oamenii pun o adresă de returnare exactă pe poștă. Cu toate acestea, oricine poate scrie orice îi place în câmpul de adresă de returnare - serviciul poștal nu verifică dacă o scrisoare provine de fapt de la adresa de returnare tipărită pe ea.
Când SMTP (protocolul simplu de transfer de poștă) a fost proiectat în anii 1980 pentru a fi utilizat de mediul academic și agențiile guvernamentale, verificarea expeditorilor nu a fost o preocupare.
Cum să investigați anteturile unui e-mail
Puteți vedea mai multe detalii despre un e-mail accesând antetele e-mailului. Aceste informații sunt localizate în diferite zone ale diferiților clienți de e-mail - pot fi cunoscute ca „sursă” sau „anteturi” ale e-mailului.
(Desigur, în general este o idee bună să nu luați în considerare e-mailurile suspecte - dacă nu sunteți deloc sigur cu privire la un e-mail, este probabil o înșelătorie.)
În Gmail, puteți examina aceste informații făcând clic pe săgeata din colțul din dreapta sus al unui e-mail și selectând Afișați originalul . Aceasta afișează conținutul brut al e-mailului.
Mai jos veți găsi conținutul unui e-mail spam real cu o adresă de e-mail falsificată. Vă vom explica cum să decodificați aceste informații.
Livrat către: [MY EMAIL ADDRESS]
Primit: până la 10.182.3.66 cu ID SMTP a2csp104490oba;
Sat, 11 Aug 2012 15:32:15 -0700 (PDT)
Primit: până la 10.14.212.72 cu ID SMTP x48mr8232338eeo.40.1344724334578;
Sat, 11 Aug 2012 15:32:14 -0700 (PDT)
Calea de întoarcere: <[email protected]>
Primit: de la 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
de către mx.google.com cu ID ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Sat, 11 Aug 2012 15:32:14 -0700 (PDT)
Received-SPF: neutru (google.com: 72.255.12.30 nu este permis și nici refuzat de cea mai bună înregistrare de presupunere pentru domeniul [email protected]) client-ip = 72.255.12.30;
Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 72.255.12.30 nu este permis și nici refuzat de cel mai bun record de ghicire pentru domeniul [email protected]) [email protected]
Primit: de vwidxus.net id hnt67m0ce87b pentru <[MY EMAIL ADDRESS]>; Duminică, 12 august 2012 10:01:06 -0500 (plic-de la <[email protected]>)
Primit: de la vwidxus.net de web.vwidxus.net cu local (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
for [email protected]; Sun, 12 Aug 2012 10:01:06 –0500…
De la: „Canadian Pharmacy” [email protected]
Există mai multe anteturi, dar acestea sunt cele importante - apar în partea de sus a textului brut al e-mailului. Pentru a înțelege aceste anteturi, începeți de jos - aceste anteturi urmăresc ruta e-mailului de la expeditor la dvs. Fiecare server care primește e-mailul adaugă mai multe antete în partea de sus - cele mai vechi anteturi de pe serverele pe care a început e-mailul se află în partea de jos.
Antetul „De la” din partea de jos susține că e-mailul provine de la o adresă @ yahoo.com - aceasta este doar o informație inclusă în e-mail; ar putea fi deloc orice. Cu toate acestea, deasupra acestuia putem vedea că e-mailul a fost primit mai întâi de „vwidxus.net” (mai jos) înainte de a fi primit de serverele de e-mail Google (mai sus). Acesta este un steag roșu - ne-am aștepta ca cel mai mic antet „Received:” din listă să fie unul dintre serverele de e-mail Yahoo!
Adresele IP implicate vă pot indica, de asemenea, dacă primiți un e-mail suspect de la o bancă americană, dar adresa IP de la care a fost trimisă se rezolvă în Nigeria sau Rusia, probabil că este o adresă de e-mail falsificată.
În acest caz, spammerii au acces la adresa „[email protected]”, unde doresc să primească răspunsuri la spamul lor, dar oricum falsifică câmpul „De la:”. De ce? Probabil pentru că nu pot trimite cantități masive de spam prin serverele Yahoo! - ar fi observați și vor fi închise. În schimb, trimit mesaje spam de pe propriile servere și îi falsifică adresa.
