คุณจะปลอมที่อยู่อีเมลได้อย่างไร


56

เมื่อเร็ว ๆ นี้มีคนถามฉันว่าอีเมลที่เธอได้รับนั้นเป็นสแปมหรือไม่ ดูเหมือนว่ามาจากธนาคารที่รู้จักกันดี (Belfius.be) ในเบลเยียม มันระบุว่าข้อมูลบางอย่างล้าสมัยและจำเป็นต้องมีการแก้ไข แน่นอนสิ่งแรกที่นึกได้ก็คือมันเป็นสแปม ทำไม?

  • ข้อผิดพลาดมากมายในภาษาประโยคที่ไม่ดี ...
  • ลิงค์ที่ให้ไว้นั้นเป็นลิงค์ที่ชั่วร้าย : มันดูเหมือนว่ามันนำไปสู่เว็บไซต์ของ belfius (บางอย่างเช่นbelfius.be/revision1285 ) แต่เมื่อวางเมาส์เหนือมันคุณจะเห็นว่ามันอ้างถึงเว็บไซต์อื่นจริง ๆ โดเมน. ca

ตอนนี้ฉันพูดทันทีคุณอย่าคลิกที่ลิงค์นั้นแต่มีอะไรทำให้ฉันประหลาดใจ อีเมลของผู้ส่งคือnoreply@belfius.beและbelfius.beเป็นเว็บไซต์อย่างเป็นทางการของธนาคาร ดังนั้นสิ่งนี้จะเป็นอย่างไร พวกเขาจะปลอมที่อยู่อีเมลของพวกเขาได้อย่างไร


2
โดยทั่วไปแล้วอีเมลประเภทนี้เรียกว่าฟิชชิงซึ่งอาจถือว่าเป็นสแปมแม้ว่าฉันคิดว่าสแปมนั้นไม่เป็นอันตรายมากกว่าและพยายามขายสิ่งต่างๆให้คุณ แต่ไม่สามารถเข้าถึงบัญชีของคุณได้
RD

37
ฉันสามารถส่งจดหมายถึงคุณที่บอกว่ามาจากซานตาคลอส ของแถมเพียงอย่างเดียวคือตราประทับของแคลิฟอร์เนีย สิ่งเดียวกันกับอีเมลมากหรือน้อย
David Schwartz

1
ทั้งคำสั่ง MAIL FROM ของ SMTP และฟิลด์ส่วนหัวจดหมายของ IMF สามารถมีที่อยู่ปลอมได้
james.garriss

1
ลองด้วยตัวคุณเอง: deadfake.com/Send.aspx
Mark E. Haase

คำตอบ:


79

ง่าย โดยแก้ไขFrom:ส่วนหัวในขณะที่ส่งจดหมาย นี้เรียกว่า"อีเมลหลอกลวง" ส่วนหัวจาก: สามารถแก้ไขได้อย่างง่ายดายหากคุณส่งจดหมายทาง PHP หรือบางอย่างไม่จำเป็นต้องใช้เทคนิคพิเศษ สิ่งที่ไม่สามารถแก้ไขได้คือที่อยู่ IP / ชื่อโดเมนของไซต์ที่มีที่มา หากคุณตรวจสอบอีเมลธรรมดา (ใน Gmail ไปที่เมนูถัดจากปุ่มตอบกลับและ "แสดงข้อความต้นฉบับ") Received:ส่วนหัวจะนำข้อมูลทั้งหมดเกี่ยวกับเส้นทางของมัน (ยิ่งReceived:ส่วนหัวลึกลงยิ่งย้อนกลับไปใน ห่วงโซ่อีเมลมันคือ) โปรดทราบว่าอีเมลที่ส่งผ่านหลายฮ็อพสามารถมีส่วนหัวบางส่วนที่หลอกได้เช่นกัน คุณต้องลงไปด้านล่างเพื่อดูว่าคุณเชื่อถือส่วนหัว (เช่นไซต์ใด)Received: from abc.com (IP address) by something.google.com (IP)(สมมติว่าคุณมี Gmail - ไม่เช่นนั้นbyจะต่างกัน) ตอนนี้ส่วนหัวนี้ถูกเขียนโดยbyส่วนหนึ่ง เริ่มต้นที่ด้านบนไม่กี่ครั้งแรกReceived:ส่วนหัวจะไม่ได้มี/from byค้นหาคนแรกที่มี มันbyจะเป็นของผู้ให้บริการอีเมลของคุณ - ซึ่งคุณไว้วางใจ ดูว่าคุณเชื่อถือfromหรือไม่และไปที่Received:หัวข้อถัดไป(ซึ่งตอนนี้คุณเชื่อถือ) และอื่น ๆ หากคุณไม่เชื่อถือส่วนหัวในส่วนที่อยู่ด้านล่างทั้งหมดไม่สามารถเชื่อถือได้ - สิ่งเหล่านั้นอาจถูกปลอมแปลง

โดยทั่วไปแล้ว Gmail จะตรวจจับการปลอมแปลงและวาง "abc@def.com ผ่าน ghi@jkl.com" การจัดประเภทของคำบรรยายบนอีเมล โปรดทราบว่ามีการใช้งานการปลอมแปลงอีเมลอย่างถูกต้องตามกฎหมาย - การส่งจดหมายจำนวนมากแสดงรายการอีเมลหลอกลวงเพื่อประสบการณ์ที่ราบรื่นยิ่งขึ้น ดังนั้นทำบอร์ด / ข้อความ ที่นี่พวกเขาส่งอีเมลเพื่อให้ดูเหมือนว่ามาจากโปสเตอร์ต้นฉบับ Reply-To:ส่วนหัวมีการตั้งค่ารายการ / webapp / สิ่งอีเมลรหัสดังนั้นการตอบกลับก็จะเป็นค่าเริ่มต้นไปที่รายการ (/ ฯลฯ ) รายการสามารถจัดการกับมันตามที่เห็นสมควร - มันสามารถตรวจสอบสแปมอาจถูกพักไว้เพื่อการกลั่นกรอง ฯลฯ เมื่อต้องการส่งมันจะหลอกลวงที่อยู่ของคุณและส่งให้ทุกคนในรายการ (ซึ่ง เป็นสิ่งที่คุณต้องการ - เพื่อให้สามารถสนทนาทางอีเมลโดยไม่ใช้ "ตอบกลับทั้งหมด"

อะไรบางอย่าง "ถูกต้องตามกฎหมาย" Spoofers ทำคือการที่พวกเขาตั้งค่าSender:ส่วนหัวกับ ID ของตัวเอง นี่ควรจะหมายถึง "ส่งโดยSenderในนามของFrom" โปรดทราบว่าการปรากฏตัวของ Sender:ส่วนหัวนั้นไม่ได้มีความหมายอะไรเลยเมื่อพูดถึงการลวง "ผิดกฎหมาย" - ส่วนหัวนั้นเป็นหัวหมุนเช่นกัน อย่างที่ฉันพูดวิธีเดียวที่จะตรวจสอบคือผ่านทางReceivedส่วนหัว


5
ขอขอบคุณ! และขอขอบคุณสำหรับการใช้งานที่ถูกกฎหมายครั้งสุดท้าย ข้อมูลมาก!
Bram Vanroy

การปลอมแปลงเป็นวิธีที่ควรปรับปรุงประสบการณ์ ผลกระทบเดียวที่ฉันได้รับจากสิ่งนั้นเป็นเชิงลบ Outlook อย่างมีประสิทธิภาพจะไม่ให้ฉันยกเว้นบัญชีขาว (สำหรับการดาวน์โหลดภาพอัตโนมัติ) เพราะแต่ละอันมาจากที่อยู่ mailist@randomnumber.maillistcompany.com ที่แตกต่างกัน
Dan Neely

1
@DanNeely: ดีโดยไม่มีการปลอมแปลงอีเมลทั้งหมดจะปรากฏมาจาก list@domain.com มันอาจทำให้สับสนเมื่อคุณต้องการส่งข้อความถึงใครบางคนและเป็นการยากที่จะติดตามว่าคุณกำลังพูดถึงใคร การปลอมแปลงทำให้ดูเหมือนว่าคุณกำลังสนทนากับกลุ่มคนยกเว้นว่ารายชื่อผู้รับจดหมายนั้นเป็นกิจการระดับกลาง (จำเป็นสำหรับการเก็บถาวรและการกลั่นกรอง) คุณหมายถึงอะไรแต่ละคนมาจากรายชื่อผู้รับจดหมายที่แตกต่างกัน? นั่นอาจเป็นเพียงรายการที่เฉพาะเจาะจง
Manishearth

@Mearearth ฉันคิดว่า "Wailing List" ของ despair.com (ในทางเทคนิคเป็นจดหมายการตลาด แต่ฉันสมัครเป็นสมาชิกเพื่อรับค่าอารมณ์ขัน) ฉันอยู่ที่ทำงานดังนั้นฉันไม่สามารถคัดลอกสิ่งที่ฉันได้รับในมุมมองที่บ้าน; แต่ gmail นั้นแสดงว่าThe Wailing List wailinglist@despair.com via mail17.us2.mcsv.net ทั้งโดเมนย่อย # และ us # เป็นโดเมนย่อยที่แตกต่างกันไปในแต่ละข้อความ ฉันสมัครสมาชิกอื่น ๆ ที่มีปัญหาคล้ายกันจากบริการส่งจดหมายของบุคคลที่สาม
Dan Neely

@DanNeely มักจะใช้การหลอกลวงเช่นนี้Alice <alice@example.com> via list@example2.com
OrangeDog

11

มันเป็นเรื่องไม่สำคัญที่จะใช้ที่อยู่ 'จาก' ของปลอม วิธีการเริ่มต้นคือการแก้ไขการตั้งค่าในโปรแกรมรับส่งเมลของคุณและเปลี่ยนค่าเริ่มต้นจากที่อยู่ ผู้ให้บริการหลายรายจะส่งอีเมลปลอมจากภาคสนามเพราะเซิร์ฟเวอร์อีเมลไม่รู้ว่าเป็นของจริงหรือไม่

ผู้ส่งอีเมลขยะใช้ซอฟต์แวร์ที่กำหนดเองโดยเฉพาะและใช้ของปลอมจากที่อยู่เสมอ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.