Wie können Sie eine E-Mail-Adresse fälschen?

56

Kürzlich hat mich jemand gefragt, ob eine E-Mail, die sie erhalten hat, Spam ist. Es schien von einer bekannten belgischen Bank (Belfius.be) zu stammen. Einige Informationen seien veraltet und müssten überarbeitet werden. Das Erste, was mir einfällt, ist natürlich, dass es sich um Spam handelt. Warum?

  • Jede Menge Fehler in der Sprache, schlechte Sätze ...
  • Der Link, der bereitgestellt wurde, war ein böser Link: Es schien, als würde er zur Website von belfius führen (so etwas wie belfius.be/revision1285 ). Aber wenn Sie mit der Maus darüber fahren, können Sie sehen, dass es sich tatsächlich um eine ganz andere Website handelt. Eine .ca Domain auch.

Jetzt sagte ich sofort: " Klickt nicht auf diesen Link, aber irgendetwas hat mich gefragt." Die E-Mail des Absenders lautete [email protected] und belfius.be ist die offizielle Website der Bank. Also, wie kann das sein? Wie können sie gefälschte ihre E - Mailadresse?

email phishing Bram Vanroy
quelle
2
Diese Art von E-Mails wird im Allgemeinen als Phishing bezeichnet, was als Spam eingestuft werden kann, obwohl ich der Meinung bin, dass Spam harmloser ist und versucht, Ihnen Inhalte zu verkaufen und keinen Zugriff auf Ihre Konten zu erhalten.
RD
37
Ich kann Ihnen einen Brief schicken, in dem steht, dass er vom Weihnachtsmann stammt. Das einzige Werbegeschenk wäre der kalifornische Poststempel. Mehr oder weniger dasselbe mit E-Mail.
David Schwartz
1
Sowohl der SMTP-Befehl MAIL FROM als auch das IMF-Feld Mail-Header können gefälschte Adressen enthalten.
james.garriss
1
Probieren Sie es selbst aus: deadfake.com/Send.aspx
Mark E. Haase

Antworten:

79

Einfach. Durch Bearbeiten des From:Headers beim Versenden der Mail. Dies wird als "E-Mail-Spoofing" bezeichnet . Der From: -Header kann leicht bearbeitet werden, wenn Sie die E-Mail über PHP oder etwas senden. Es sind keine ausgefallenen Tricks erforderlich. Was jedoch nicht bearbeitet werden kann, ist die IP-Adresse / der Domain-Name der Site, von der sie stammt. Wenn Sie die Klartext - E - Mail überprüfen (in Google Mail das Menü neben der Schaltfläche "Antworten" aufrufen und "Originalnachricht anzeigen" Received:auswählen ), enthält die Kopfzeile alle Informationen zu ihrem Pfad (je tiefer die Received:Kopfzeile ist, desto weiter hinten in der E-Mail-Kette ist es). Beachten Sie, dass bei einer E-Mail, die mehrere Hops durchläuft, auch einige der tieferen Header gefälscht werden können. Sie müssen nach unten gehen und sehen, welchen Headern (dh Sites) Sie vertrauen.Received: from abc.com (IP address) by something.google.com (IP)(Vorausgesetzt, Sie haben Google Mail - ansonsten bywird das anders sein). Nun wurde dieser Header von dem byTeil geschrieben. Beginnen Sie oben, die ersten paar Received:Überschriften haben kein from/ by. Finde den ersten mit denen. Es bywird Ihrem E-Mail-Anbieter gehören - dem Sie vertrauen. Prüfen Sie, ob Sie dem vertrauen from, und fahren Sie dann mit dem nächsten Received:Header (dem Sie jetzt vertrauen) fort. Wenn Sie einem Header zwischenzeitlich nicht vertrauen, können nicht alle darunter liegenden Header als vertrauenswürdig eingestuft werden. Möglicherweise wurden diese gefälscht.

In der Regel erkennt Google Mail jedoch Spoofing und fügt der E-Mail eine Art "[email protected] via [email protected]" hinzu. Beachten Sie, dass es durchaus legitime Verwendungen von E-Mail-Spoofing gibt - viele Mailinglisten fälschen E-Mails, um eine reibungslosere Funktionsweise zu gewährleisten. Also mache bestimmte Foren / Message Boards. Hier senden sie die E-Mail, damit sie so aussieht, als stamme sie vom Originalposter. Die Reply-To:Kopfzeile wird auf die Liste / webapp / whatever email id gesetzt. Wenn Sie darauf antworten, wird standardmäßig die Liste (/ etc) aufgerufen. Die Liste kann dann nach Belieben damit umgehen - sie kann nach Spam suchen, sie kann zur Moderation in die Warteschleife gestellt werden usw. Wenn sie es senden möchte, wird Ihre Adresse gefälscht und an alle in der Liste (welche) gesendet ist genau das, was Sie wollten - um E-Mail-basierte Diskussionen zu führen, ohne "Allen antworten" zu müssen

Was einig „legitimer“ spoofers tut , ist , dass sie die Set - Sender:Header , um ihre eigenen ID. Dies soll "Gesendet von Senderim Auftrag von From" bedeuten . Beachten Sie, dass das Vorhandensein eines Sender:Headers nichts bedeutet, wenn es um "illegitimes" Spoofing geht - dieser Header ist auch spoofbar. Wie ich schon sagte, die einzige Möglichkeit, dies zu überprüfen, sind die ReceivedHeader.

Manishearth
quelle
5
Danke! Und auch danke für den letzten legitimen Gebrauch. Sehr informativ!
Bram Vanroy
Wie soll das Spoofing das Erlebnis verbessern? Die einzige Auswirkung, die ich davon habe, ist negativ. In Outlook kann ich die Nachrichten (für den automatischen Download von Bildern) effektiv nicht auf eine Whitelist setzen, da jede Nachricht von einer anderen [email protected] stammt.
Dan Neely
1
@DanNeely: Nun, ohne Spoofing scheinen alle E-Mails von [email protected] zu kommen. Es wird verwirrend, wenn Sie jemandem eine PM senden möchten, und es ist schwierig, den Überblick darüber zu behalten, mit wem Sie sprechen. Durch das Spoofing sieht es so aus, als würden Sie sich nur mit einer Gruppe von Personen unterhalten, mit der Ausnahme, dass die Mailingliste eine Zwischenentität ist (für die Archivierung und Moderation erforderlich). Was meinst du damit, jeder kommt von einem anderen Mailinglisten-Addy? Das ist wahrscheinlich nur eine bestimmte Liste.
Manishearth
@Manishearth Ich dachte an die "Wailing List" von despair.com (technisch gesehen eine Marketing-Mail, aber ich abonniere sie für den Humor-Wert). Ich bin auf der Arbeit, also kann ich nicht kopieren, was ich zu Hause in Aussicht bekomme; In Google The Wailing List [email protected] via mail17.us2.mcsv.net Mail wird dies jedoch als ex angezeigt. Sowohl die Mail- als auch die US-Subdomain variieren von einer Nachricht zur nächsten. Ich habe mehrere andere Abonnements mit ähnlichen Problemen von ihren Drittanbieter-Mailingdiensten.
Dan Neely
@DanNeely normalerweise würden Sie Spoofing wie verwendenAlice <[email protected]> via [email protected]
Stop Harming Monica
11

Es ist trivial, eine falsche Absenderadresse zu verwenden. Anfänger können einfach die Einstellungen in Ihrem E-Mail-Client bearbeiten und die Standardadresse ändern. Viele Dienstanbieter senden eine E-Mail mit einer Fälschung aus dem Feld, da der E-Mail-Server nicht weiß, was der eigentliche ist.

Die Spammer verwenden dedizierte benutzerdefinierte Software und verwenden immer gefälschte Adressen.

Peter Jenkins
quelle