Come puoi falsificare un indirizzo email?


56

Di recente qualcuno mi ha chiesto se un'email che aveva ricevuto era spam. Sembrava provenire da una nota banca (Belfius.be) in Belgio. Ha dichiarato che alcune informazioni erano obsolete e che necessitavano di revisione. Naturalmente, la prima cosa che viene in mente è che si tratta di spam. Perché?

  • Carichi di errori nel linguaggio, frasi sbagliate ...
  • Il collegamento fornito era un collegamento malvagio : sembrava che portasse al sito Web di Belfius (qualcosa come belfius.be/revision1285 ). Ma quando ci passi sopra, potresti vedere che in realtà si riferiva a un altro sito web. Un dominio .ca anche.

Ora, ho subito detto Non fare clic su quel link ma qualcosa mi ha fatto meravigliare. L'email del mittente era noreply@belfius.be e belfius.be è il sito ufficiale della banca. Quindi, come può essere? Come possono falsificare il loro indirizzo email?


2
Questo tipo di posta è generalmente noto come phishing, che può essere considerato spam, anche se penso che lo spam sia più innocuo e cerchi di venderti roba, non di accedere ai tuoi account.
RD

37
Posso inviarti una lettera per posta che dice che proviene da Babbo Natale. L'unico omaggio sarebbe il timbro postale della California. Stessa cosa con l'email, più o meno.
David Schwartz,

1
Sia il comando MAIL FROM di SMTP che il campo di intestazione Posta dell'IMF possono contenere indirizzi contraffatti.
james.garriss,

1
Provalo tu stesso: deadfake.com/Send.aspx
Mark E. Haase,

Risposte:


79

Semplice. Modificando l' From:intestazione durante l'invio della posta. Questo è noto come "spoofing e-mail" . L'intestazione From: è facilmente modificabile se stai inviando la posta tramite PHP o qualcosa del genere, non sono richiesti trucchi fantasiosi. Ciò che non è modificabile, tuttavia, è l'indirizzo IP / il nome di dominio del sito da cui ha avuto origine. Se controlli l'e-mail in chiaro (in Gmail, vai al menu accanto al pulsante di risposta e "mostra messaggio originale"), le Received:intestazioni portano tutte le informazioni sul suo percorso (Più in basso Received:nell'intestazione è, più indietro nella catena di posta elettronica è). Si noti che un'e-mail che passa attraverso più hop può avere anche alcune delle intestazioni più profonde falsificate. Devi andare verso il basso, vedendo quali intestazioni (cioè siti) ti fidi.Received: from abc.com (IP address) by something.google.com (IP)(supponendo che tu abbia Gmail, altrimenti bysarà diverso). Ora, questa intestazione è stata scritta dalla byparte. Inizia dall'alto, le prime poche Received:intestazioni non avranno un from/ by. Trova il primo con quelli. Appartiene byal tuo provider di posta elettronica, di cui ti fidi. Vedi se ti fidi di from, e se lo fai, vai all'intestazione successiva Received:(di cui ora ti fidi) e così via. Se non ti fidi di un'intestazione in mezzo, non ci si può fidare di tutti quelli sotto di essa - quelli potrebbero essere stati falsificati.

Gmail generalmente rileva lo spoofing, tuttavia, e inserisce una specie di nota "abc@def.com via ghi@jkl.com" nell'email. Nota che ci sono usi perfettamente legittimi dello spoofing delle e-mail: molte mailing list falsificano le e-mail per un'esperienza più fluida. Quindi fai alcuni forum / forum. Qui, inviano l'e-mail per far sembrare che provenga dal poster originale. L' Reply-To:intestazione è impostata su list / webapp / qualunque sia l'ID e-mail, quindi rispondendo di default andrà alla lista (/ etc). L'elenco può quindi gestirlo come meglio crede: può verificare la presenza di spam, può essere sospeso per moderazione, ecc. Quando vuole inviarlo, falsificherà il tuo indirizzo e lo invierà a tutti gli utenti dell'elenco (che è esattamente quello che volevi: poter avere discussioni basate su e-mail senza usare "Rispondi a tutti"

Quello che fanno alcuni spoofer "legittimi" è che impostano l' Sender:intestazione sul loro ID. Questo dovrebbe significare "Inviato da Senderper conto di From". Nota che la presenza di Sender:un'intestazione non significa nulla quando si tratta di spoofing "illegittimo" - anche quell'intestazione è spoofable. Come ho detto, l'unico modo per verificare è tramite le Receivedintestazioni.


5
Grazie! E grazie anche per l'ultimo uso legittimo. Molto informativo!
Bram Vanroy,

In che modo lo spoofing dovrebbe migliorare l'esperienza. L'unico impatto che ho riscontrato è negativo. Outlook in effetti non mi consente di inserire nella whitelist i messaggi (per il download automatico delle immagini) perché ognuno proviene da un indirizzo mailist@randomnumber.maillistcompany.com diverso.
Dan Neely,

1
@DanNeely: Beh, senza spoofing, tutte le email sembrano provenire da list@domain.com. Diventa confuso quando vuoi PM qualcuno, ed è difficile tenere traccia di chi stai parlando. Lo spoofing fa sembrare che tu stia solo conversando con un gruppo di persone, tranne per il fatto che la mailing list è un'entità intermedia (necessaria per l'archiviazione e la moderazione). Cosa intendi per dire che ognuno proviene da un addy di mailing list diverso? Questo è probabilmente solo un elenco particolare.
Manishearth,

@Manishearth Stavo pensando alla "Wailing List" di despair.com (tecnicamente una mail di marketing ma mi iscrivo per il valore dell'umorismo). Sono al lavoro, quindi non riesco a copiare ciò che vedo in casa; ma gmail lo mostra come ex The Wailing List wailinglist@despair.com via mail17.us2.mcsv.net entrambi i sottodomini mail # e us # variano da un messaggio all'altro. Ho diversi altri abbonamenti con problemi simili dai loro servizi postali di terze parti.
Dan Neely,

@DanNeely di solito useresti lo spoofing comeAlice <alice@example.com> via list@example2.com
Smetti di danneggiare Monica il

11

È banale usare un falso indirizzo "da". Il modo per principianti è semplicemente modificare le impostazioni nel tuo client di posta e cambiare l'impostazione predefinita dall'indirizzo. Molti fornitori di servizi invieranno un'email con un falso dal campo perché il server di posta elettronica non sa quale sia quello reale.

Gli spammer utilizzano software personalizzati dedicati e usano sempre falsi dagli indirizzi.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.