Как мошенники подделывают адреса электронной почты, и как вы можете сказать

Считайте это публичным объявлением: мошенники могут подделать адреса электронной почты. Ваша программа электронной почты может сказать, что сообщение пришло с определенного адреса электронной почты, но оно может быть целиком с другого адреса.

Протоколы электронной почты не проверяют правильность адресов — мошенники, фишеры и другие злоумышленники используют эту уязвимость в системе. Вы можете проверить заголовки подозрительного письма, чтобы увидеть, был ли его адрес поддельным.

Как работает электронная почта

Ваше почтовое программное обеспечение отображает, от кого электронная почта, в поле «От». Однако проверка на самом деле не выполняется — ваше почтовое программное обеспечение не может узнать, действительно ли это письмо от того, от кого оно написано. Каждое электронное письмо содержит заголовок «От», который может быть подделан — например, любой мошенник может отправить вам электронное письмо с адреса bill@microsoft.com. Ваш почтовый клиент скажет вам, что это электронное письмо от Билла Гейтса, но у него нет никакой возможности проверить его.

Электронные письма с поддельными адресами могут показаться из вашего банка или другого законного предприятия. Они часто спрашивают у вас конфиденциальную информацию, такую ​​как номер вашей кредитной карты или номер социального страхования, возможно, после нажатия на ссылку, которая ведет к фишинговому сайту, который выглядит как законный веб-сайт.

Поле «От» в письме следует считать цифровым эквивалентом обратного адреса, напечатанного на конвертах, которые вы получаете по почте. Обычно люди помещают точный обратный адрес на почту. Однако любой может написать что угодно в поле обратного адреса — почтовая служба не проверяет, действительно ли письмо отправлено с обратного адреса, напечатанного на нем.

Когда SMTP (простой протокол пересылки почты) был разработан в 1980-х годах для использования научными кругами и правительственными учреждениями, проверка отправителей не была проблемой.

Как исследовать заголовки письма

Вы можете увидеть более подробную информацию об электронном письме, покопавшись в заголовках письма. Эта информация находится в разных местах в разных почтовых клиентах — она ​​может называться «источником» или «заголовком» письма.

(Конечно, обычно хорошей идеей является полное игнорирование подозрительных электронных писем — если вы совсем не уверены в электронном письме, это, вероятно, мошенничество.)

В Gmail вы можете проверить эту информацию, нажав стрелку в верхнем правом углу электронного письма и выбрав Показать оригинал . Это отображает сырое содержимое электронной почты.

Ниже вы найдете содержимое фактического спам-сообщения с поддельным адресом электронной почты. Мы объясним, как расшифровать эту информацию.

Доставлено: [МОЙ ЭЛЕКТРОННЫЙ АДРЕС]
Получено: по 10.182.3.66 с SMTP-идентификатором a2csp104490oba;
Суббота, 11 августа 2012 15:32:15 -0700 (PDT)
Получено: 10.14.212.72 с SMTP-идентификатором x48mr8232338eeo.40.1344724334578;
Суббота, 11 августа 2012 15:32:14 -0700 (PDT)
Возврат-путь:
Получено: от 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
от mx.google.com с идентификатором ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Суббота, 11 августа 2012 15:32:14 -0700 (PDT)
Получено-SPF: нейтрально (google.com: 72.255.12.30 не разрешено и не отклонено из-за записи с лучшим предположением для домена e.vwidxus@yahoo.com) client-ip = 72.255.12.30;
Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 72.255.12.30 не разрешено и не отклонено в соответствии с наилучшей записью предположения для домена e.vwidxus@yahoo.com) smtp.mail=e.vwidxus@yahoo.com
Получено: от vwidxus.net id hnt67m0ce87b for; Воскресенье, 12 августа 2012 10:01:06 -0500 (конверт из)
Получено: от vwidxus.net через web.vwidxus.net с локальным (почтовый сервер 4.69)
id 34597139-886586-27/./ PV3Xa/WiSKhnO + 7kCTI + xNiKJsH/rC/
для root@vwidxus.net; Воскресенье, 12 августа 2012 г. 10:01:06 –0500

От: «Канадская аптека» e.vwidxus@yahoo.com

Заголовков больше, но это важные — они появляются в верхней части исходного текста письма. Чтобы понять эти заголовки, начните снизу — эти заголовки отслеживают маршрут письма от его отправителя к вам. Каждый сервер, который получает электронную почту, добавляет новые заголовки — самые старые заголовки с серверов, с которых начиналась электронная почта, располагаются внизу.

В заголовке «От» внизу утверждается, что электронное письмо пришло с адреса @ yahoo.com — это просто часть информации, включенная в электронное письмо; это может быть что угодно. Тем не менее, над ним мы видим, что электронное письмо было сначала получено vwidxus.net (ниже), а затем получено почтовыми серверами Google (выше). Это красный флаг — мы ожидаем, что самый низкий заголовок «Received:» в списке будет одним из почтовых серверов Yahoo !.

Соответствующие IP-адреса могут также подсказать вам — если вы получаете подозрительное электронное письмо от американского банка, но IP-адрес, с которого он был получен, разрешается в Нигерию или Россию, это, вероятно, поддельный адрес электронной почты.

В этом случае спаммеры имеют доступ к адресу «e.vwidxus@yahoo.com», где они хотят получать ответы на свой спам, но в любом случае они подделывают поле «От:». Зачем? Вероятно, потому, что они не могут отправлять огромное количество спама через серверы Yahoo! — их заметят и закроют. Вместо этого они рассылают спам со своих серверов и подделывают его адрес.

Оцените статью
TutoryBird.Ru
Добавить комментарий