Miksi vaivautua Etsitkö sähköpostin otsikkoa?
Tämä on erittäin hyvä kysymys. Suurimmalta osin et todellakaan tarvitsisi, ellei:
- Epäilet, että sähköpostiosoite on tietojenkalasteluyritys tai huijaus
- Haluat tarkastella reititystietoja sähköpostin polussa
- Olet utelias geek
Riippumatta syistä, lukeminen sähköpostin otsikot on todella melko helppoa ja voi olla hyvin paljastava.
Artikkeli Huomaa: Kuvakaapamme ja tietomme ansiosta käytämme Gmailia, mutta käytännöllisesti katsoen jokainen muu sähköpostiyritys toimittaa samat tiedot.
Sähköpostin otsikon katselu
Katsele sähköpostissa Gmailissa. Tätä esimerkkiä varten käytämme alla olevaa sähköpostia.
Huomaa: Kaikissa sähköpostin otsikkotiedoissa, jotka näytän alla, olen muuttanut Gmail-osoitettani näyttämään [email protected] ja ulkoisen sähköpostiosoiteni näytetään [email protected] ja [email protected] samoin kuin naamioituneet sähköpostipalvelimeni IP-osoitteeseen.
Toimitettu-osoitteeseen: [email protected] Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp18666oec; Ti, 6 maaliskuu 2012 08:30:51 -0800 (PST) Vastaanotettu: 10.68.125.129 SMTP-tunnuksella mq1mr1963003pbb.21.1331051451044; Ti, 06 maaliskuu 2012 08:30:51 -0800 (PST) Paluu matka:
Kun lukee sähköpostin otsikko, tiedot ovat päinvastaisessa aikajärjestyksessä, eli yläosassa oleva tieto on viimeisin tapahtuma. Siksi jos haluat jäljittää sähköpostin lähettäjältä vastaanottajalle, aloita alareunasta. Tarkastelemalla tämän sähköpostiviestin otsikoita näemme useita asioita.
Täällä näemme lähettävän asiakkaan tuottamaa tietoa. Tällöin sähköposti lähetettiin Outlookilta, joten tämä on metatieto, jonka Outlook lisää.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
Seuraava osa jäljittää polun, jonka sähköposti lähettää lähettävän palvelimen kohdepalvelimelta. Muista, että nämä vaiheet (tai humalat) on lueteltu päinvastaisessa aikajärjestyksessä. Olemme asettaneet jokaisen hopin vieressä olevan numeron järjestyksen havainnollistamiseksi. Huomaa, että jokainen hop näyttää yksityiskohdat IP-osoitteesta ja vastaavasta käänteisen DNS-nimen.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Vaikka tämä on melko arkipäiväinen lailliselle sähköpostiviestille, nämä tiedot voivat olla varsin selkeitä, kun tarkastellaan roskapostia tai phishing-sähköpostiviestejä.
Phishing-sähköpostin tarkastelu - esimerkki 1
Ensimmäiselle phishing-esimerkillemme tarkastelemme sähköpostia, joka on selvä tietojenkalasteluyritys. Tässä tapauksessa voisimme tunnistaa tämän viestin petoksena pelkästään visuaalisilla indikaattoreilla, mutta käytännössä me tarkastelemme otsikoiden varoitusmerkeitä.
Toimitettu-osoitteeseen: [email protected] Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp12958oec; Mon, 5 Mar 2012 23:11:29 -0800 (PST) Saadut: 10.236.46.164 SMTP-tunnuksella r24mr7411623yhb.101.1331017888982; Ma, 05 maalis 2012 23:11:28 -0800 (PST) Paluu matka:
Ensimmäinen punainen lippu on asiakkaan tiedot-alueella. Huomaa metatiedot lisätään viitteisiin Outlook Express. On epätodennäköistä, että Visa on niin kaukana, että heillä on joku lähettämällä sähköposteja manuaalisesti 12 vuoden ikäisellä sähköpostiohjelmalla.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
Nyt tarkastelemalla ensimmäistä hop-ohjelmaa reitityksessä paljastuu, että lähettäjä oli IP-osoitteessa 118.142.76.58 ja heidän sähköpostinsa välitettiin sähköpostipalvelimen mail.lovingtour.com kautta.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
Nirsoftin IPNetInfo-apuohjelman IP-tietojen etsiminen näemme, että lähettäjä oli Hongkongissa ja postipalvelin sijaitsee Kiinassa.
Tarpeetonta sanoa, että tämä on hieman epäilyttävää.
Muut sähköpostin humalat eivät ole tällä hetkellä merkityksellisiä, koska ne osoittavat, että sähköposti pyörii legitiimiä palveluliikennettä ennen lopullista toimittamista.
Phishing-sähköpostin tarkastelu - esimerkki 2
Tässä esimerkissä phishing-sähköpostiosoitteemme on paljon vakuuttavampi. Tässä on muutamia visuaalisia indikaattoreita, jos näytät tarpeeksi kovaa, mutta tämän artikkelin tarkoituksena on rajoittaa tutkimustemme sähköpostin otsikoihin.
Toimitettu-osoitteeseen: [email protected] Vastaanotettu: 10.60.14.3 SMTP-tunnuksella l3csp15619oec; Ti, 06 maaliskuu 2012 04:27:20 -0800 (PST) Saadut: 10.236.170.165 SMTP-tunnuksella p25mr8672800yhl.123.1331036839870; Ti, 06 maaliskuu 2012 04:27:19 -0800 (PST) Paluu matka:
Tässä esimerkissä ei käytetä sähköpostiohjelmasovellusta, vaan PHP-komentosarjaa, jonka lähteen IP-osoite on 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Kuitenkin, kun tarkastelemme ensimmäistä sähköpostin hopia, se näyttää olevan legit, koska lähettävän palvelimen verkkotunnus vastaa sähköpostiosoitetta. Ole varovainen tästä, koska roskapostittaja voisi helposti nimetä palvelimen "intuit.com".
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Seuraavan vaiheen tutkiminen murentaa tämän korttitalon. Voit nähdä toisen hopin (jossa se vastaanottaa oikeutettua sähköpostipalvelinta) ratkaisee lähettävän palvelimen takaisin verkkotunnukseen "dynamic-pool-xxx.hcm.fpt.vn" eikä "intuit.com", jolla on sama IP-osoite ilmoitettu PHP-skripti.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
IP-osoitetietojen tarkastelu vahvistaa epäluulon, kun postipalvelimen sijainti palautuu Vietnamiin.
johtopäätös
Tarkastellessasi sähköpostin otsakkeita luultavasti ei ole osa tyypillisiä päivittäisiä tarpeitasi, on olemassa tapauksia, joissa niiden sisältämät tiedot voivat olla varsin arvokkaita. Kuten edellä olemme osoittaneet, voit helposti tunnistaa lähettäjät masquerading kuin jotain he eivät ole. Hyvin suoritettu huijaus, jossa visuaaliset vihjeet ovat vakuuttavia, on äärimmäisen vaikeaa (jos ei mahdotonta) esiintyä varsinaisia sähköpostipalvelimia ja tarkistaa sähköpostin otsikoiden sisältämät tiedot voivat nopeasti paljastaa kaikenlaiset haittaohjelmat.
Linkit
Lataa Nirsoftilta IPNetInfo
