Как мошенники подделывают адреса электронной почты, и как вы можете сказать
Считайте это публичным объявлением: мошенники могут подделать адреса электронной почты. Ваша программа электронной почты может сказать, что сообщение пришло с определенного адреса электронной почты, но оно может быть целиком с другого адреса.
Протоколы электронной почты не подтверждают правильность адресов - мошенники, фишеры и другие злоумышленники используют эту уязвимость в системе. Вы можете проверить заголовки подозрительного письма, чтобы увидеть, был ли его адрес подделан.
Как работает электронная почта
Ваше почтовое программное обеспечение отображает, от кого электронная почта, в поле «От». Однако проверка на самом деле не выполняется - ваше почтовое программное обеспечение не может узнать, действительно ли это письмо от того, от кого оно написано. Каждое электронное письмо содержит заголовок «От», который может быть подделан - например, любой мошенник может отправить вам электронное письмо с адреса [email protected]. Ваш почтовый клиент скажет вам, что это письмо от Билла Гейтса, но у него нет возможности проверить.
Электронные письма с поддельными адресами могут показаться из вашего банка или другого законного предприятия. Они часто запрашивают у вас конфиденциальную информацию, такую как номер вашей кредитной карты или номер социального страхования, возможно, после нажатия на ссылку, которая ведет к фишинговому сайту, который выглядит как законный сайт.
Поле «От» в письме следует считать цифровым эквивалентом обратного адреса, напечатанного на конвертах, которые вы получаете по почте. Обычно люди помещают точный обратный адрес на почту. Тем не менее, любой может написать что угодно в поле обратного адреса - почтовая служба не проверяет, действительно ли письмо получено с обратного адреса, напечатанного на нем..
Когда SMTP (простой протокол пересылки почты) был разработан в 1980-х годах для использования научными кругами и государственными учреждениями, проверка отправителей не была проблемой.
Как исследовать заголовки письма
Вы можете увидеть более подробную информацию об электронном письме, покопавшись в заголовках письма. Эта информация находится в разных местах в разных почтовых клиентах - она может называться «источником» или «заголовком» письма.
(Конечно, это хорошая идея, чтобы полностью игнорировать подозрительные электронные письма - если вы совсем не уверены в электронном письме, это, вероятно, мошенничество.)
В Gmail вы можете проверить эту информацию, нажав стрелку в правом верхнем углу письма и выбрав Показать оригинал. Это отображает сырое содержимое электронной почты.
Ниже вы найдете содержимое фактического спам-сообщения с поддельным адресом электронной почты. Мы объясним, как декодировать эту информацию.
Доставлено: [Мой адрес электронной почты]
Получено: по 10.182.3.66 с идентификатором SMTP a2csp104490oba;
Суббота, 11 августа 2012 15:32:15 -0700 (PDT)
Получено: 10.14.212.72 с идентификатором SMTP x48mr8232338eeo.40.1344724334578;
Суббота, 11 августа 2012 15:32:14 -0700 (PDT)
Обратный путь:
Получено: от 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
от mx.google.com с идентификатором ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Суббота, 11 августа 2012 15:32:14 -0700 (PDT)
Получено-SPF: нейтрально (google.com: 72.255.12.30 не разрешено и не отклонено с помощью записи с наилучшими предположениями для домена [email protected]) client-ip = 72.255.12.30;
Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 72.255.12.30 не разрешается и не запрещается лучшей записью о догадках для домена [email protected]) [email protected]
Получено: от vwidxus.net id hnt67m0ce87b для; Воскресенье, 12 августа 2012 10:01:06 -0500 (конверт из)
Получено: от vwidxus.net по web.vwidxus.net с локальным (почтовый сервер 4.69)
id 34597139-886586-27 / ./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
для [email protected]; Воскресенье, 12 августа 2012 г. 10:01:06 -0500...
От: «Канадская аптека» [email protected]
Заголовков больше, но это важные - они появляются в верхней части исходного текста письма. Чтобы понять эти заголовки, начните снизу - эти заголовки отслеживают маршрут письма от его отправителя к вам. Каждый сервер, который получает электронную почту, добавляет новые заголовки - самые старые заголовки с серверов, с которых начиналась электронная почта, располагаются внизу..
Заголовок «От» внизу утверждает, что электронное письмо пришло с адреса @ yahoo.com - это просто часть информации, включенная в электронное письмо; это может быть что угодно. Тем не менее, над ним мы видим, что электронное письмо было сначала получено vwidxus.net (ниже), а затем получено почтовыми серверами Google (выше). Это красный флаг - мы ожидаем увидеть самый низкий заголовок «Received:» в списке как один из почтовых серверов Yahoo !..
Соответствующие IP-адреса могут также подсказать вам - если вы получаете подозрительное электронное письмо от американского банка, но IP-адрес, с которого он был получен, разрешается в Нигерию или Россию, это, вероятно, поддельный адрес электронной почты..
В этом случае спаммеры имеют доступ к адресу «[email protected]», где они хотят получать ответы на свой спам, но в любом случае они подделывают поле «От:». Зачем? Скорее всего, потому что они не могут отправлять огромное количество спама через серверы Yahoo! - их заметят и закроют. Вместо этого они отправляют спам со своих серверов и подделывают его адрес..