Як можна підробити електронну адресу?


56

Нещодавно хтось запитав мене, чи отримав електронний лист спам. Здавалося, це з відомого банку (Belfius.be) у Бельгії. У ньому зазначалося, що деяка інформація застаріла і потребує її перегляду. Звичайно, перше, що спадає на думку, це те, що це спам. Чому?

  • Навантаження помилок у мові, неправильні пропозиції ...
  • Надане посилання було злим посиланням: воно виглядало так, ніби воно призвело до веб-сайту belfius (щось на зразок belfius.be/revision1285 ). Але при наведенні на нього ви побачили, що він насправді посилається на зовсім інший веб-сайт. Домен .ca навіть.

Тепер я одразу сказав, що ти не натискаєш на це посилання, але щось мене здивувало. Електронний лист відправника був noreply@belfius.be, а belfius.be - офіційний веб-сайт банку. Отже, як це може бути? Як вони можуть підробити свій електронний адрес?


2
Цей вид пошти загалом відомий як фішинг, який можна вважати спамом, хоча я вважаю, що спам є більш нешкідливим і намагається продавати вам речі, а не отримувати доступ до ваших облікових записів.
РД

37
Я можу накинути лист на пошту до вас, в якому сказано, що це від Діда Мороза. Єдиним подарунком буде поштова марка Каліфорнії. Те саме з електронною поштою, більш-менш.
Девід Шварц

1
Як команда SMIL FROM SMTP, так і поле заголовка пошти IMF можуть містити підроблені адреси.
james.garriss

1
Спробуйте самі: deadfake.com/Send.aspx
Марк Е. Хааз

Відповіді:


79

Простий. Редагуючи From:заголовок під час надсилання пошти. Це відомо як "підробка електронної пошти" . Заголовок From: легко редагується, якщо ви надсилаєте пошту через PHP чи щось інше, не потрібно фантазійних хитрощів. Що НЕ редагується, хоча це IP - адреса / ім'я домену сайту , з якого вона виникла. Якщо ви перевірте електронний лист із простою текстою (у Gmail, перейдіть до меню поруч із кнопкою відповіді та "покажіть оригінальне повідомлення"), Received:заголовки несуть усю інформацію про його шлях (чим глибше Received:заголовок внизу , тим далі назад у ланцюжок електронної пошти це). Зауважте, що повідомлення електронної пошти, що проходить через декілька переходів, може також містити деякі глибші заголовки. Вам потрібно спуститися вниз, побачивши, яким заголовкам (тобто сайтам) ви довіряєте.Received: from abc.com (IP address) by something.google.com (IP)(якщо припустити, що у вас є Gmail - інакше byбуде інше). Тепер цей заголовок було написано byчастиною. Почніть з верху, перші кілька Received:заголовків не матимуть from/ by. Знайдіть перший із тими. Його byбуде належати вашому постачальнику електронної пошти - якому ви довіряєте. Перевірте, чи довіряєте ви from, і якщо це зробити, перейдіть до наступного Received:заголовка (якому ви зараз довіряєте) тощо. Якщо ви не довіряєте заголовку між ними, не можна довіряти всім, які знаходяться нижче, - вони, можливо, були підроблені.

Gmail, як правило, виявляє підробку, і додає в електронну пошту подібну примітку "abc@def.com через ghi@jkl.com". Зауважте, що існує цілком законне використання підробки електронної пошти - багато розсилки перераховують підроблювальні електронні листи для більш легкої роботи. Тож робіть певні форуми / дошки оголошень. Тут вони надсилають електронний лист, щоб він виглядав так, як він прийшов з оригінального плаката. Reply-To:Заголовка встановлюється в списку / WebAPP / будь-який електронний ідентифікатор, тому відповідати на нього за замовчуванням буде перейти до списку (/ і т.д.). Потім список може поводитися з ним так, як він вважає за потрібне - він може перевірити наявність спаму, можливо, утримувати його для модерації і т. Д. Коли він захоче надіслати його, він сфабрикує вашу адресу і надішле її всім у списку (який саме те, що ви хотіли - мати можливість вести дискусії на основі електронної пошти без використання "Відповісти всім"

Що деякі «законні» spoofers робити те , що вони встановлюють Sender:заголовок свого власного ідентифікатора. Це повинно означати "Надіслано від Senderімені From". Зауважте, що наявність Sender:заголовка нічого не означає, коли мова йде про "нелегітимну" підробку - цей заголовок також можна підробити. Як я вже сказав, єдиний спосіб перевірити це через Receivedзаголовки.


5
Дякую! А також дякую за останнє законне використання. Дуже інформативно!
Брам Ванрой

Як підробка повинна покращити досвід. Єдиний вплив, з яким я стикався, це негативний. Outlook ефективно не дозволяє мені вносити в білий список повідомлень (для автоматичного завантаження зображень), оскільки кожне з них походить з іншої адреси mailist@randomnumber.maillistcompany.com.
Дан Нелі

1
@DanNeely: Ну, без підробки, всі повідомлення електронної пошти надходять із list@domain.com. Це стає заплутаним, коли ти хочеш когось очолити, і важко відстежувати, з ким ти розмовляєш. Підробка піддається тому, ніби ви просто спілкуєтесь з групою людей, за винятком того, що список розсилки є проміжною суттю (необхідною для архівації та модерації). Що ви маєте на увазі, що кожен із них походить із іншої групи розсилки? Це, мабуть, лише певний список.
Manishearth

@Manishearth Я думав про "список плачу" despair.com (технічно це маркетингова пошта, але я передплачую його за цінність гумору). Я на роботі, тому я не можу копіювати те, що я отримую в перспективі вдома; але gmail показує це як колишній The Wailing List wailinglist@despair.com via mail17.us2.mcsv.net поштовий номер # та нас # піддомен різниться від одного повідомлення до іншого. Я декілька інших підписок з подібними проблемами від своїх сторонніх служб розсилки.
Ден Нелі

@DanNeely зазвичай ви використовуєте підробку на кшталтAlice <alice@example.com> via list@example2.com
Зупиніть шкодити Моніці

11

Користуватися фальшивою адресою "з" нереально. Спосіб для початківців - це просто відредагувати налаштування свого поштового клієнта та змінити типову адресу. Багато постачальників послуг надсилатимуть електронну пошту з підробкою з поля, оскільки сервер електронної пошти не знає, що таке справжнє.

Спамери використовують спеціально призначене програмне забезпечення та завжди використовують підроблені адреси з адрес.

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.