Como você pode fingir um endereço de email?

56

Recentemente, alguém me perguntou se um email que ela recebeu era spam. Parecia ser de um banco conhecido (Belfius.be) na Bélgica. Afirmou que algumas informações estavam desatualizadas e que precisavam de revisão. Obviamente, a primeira coisa que vem à mente é que é spam. Por quê?

  • Cargas de erros de linguagem, frases ruins ...
  • O link fornecido era um link maligno : parecia que levava ao site da belfius (algo como belfius.be/revision1285 ). Mas, ao passar o mouse sobre ele, você pode ver que ele realmente se refere a outro site. Um domínio .ca mesmo.

Agora, eu disse imediatamente Não clique no link, mas algo me fez pensar. O email do remetente era [email protected] e belfius.be é o site oficial do banco. Então, como pode ser isso? Como eles podem fingir o endereço de email?

email phishing Bram Vanroy
fonte
2
Esse tipo de e-mail é geralmente conhecido como phishing, que pode ser considerado spam, embora eu ache que o spam é mais inofensivo e tente vender coisas para você, sem ter acesso às suas contas.
RD
37
Posso enviar uma carta pelo correio dizendo que é do Papai Noel. A única oferta seria o carimbo da Califórnia. A mesma coisa com o email, mais ou menos.
David Schwartz
11
O comando MAIL FROM do SMTP e o campo do cabeçalho Mail do FMI podem conter endereços falsificados.
Java.garriss
11
Tente você mesmo: deadfake.com/Send.aspx #
Mark E. Haase

Respostas:

79

Simples. Editando o From:cabeçalho enquanto envia o email. Isso é conhecido como "falsificação de email" . O cabeçalho From: é facilmente editável se você estiver enviando correio via PHP ou algo assim, sem truques sofisticados. O que não é editável, porém, é o endereço IP / nome de domínio do site de onde ele se originou. Se você verificar o email em texto sem formatação (no Gmail, vá para o menu ao lado do botão de resposta e "mostre a mensagem original"), os Received:cabeçalhos transportarão todas as informações sobre o caminho (quanto mais fundo Received:estiver o cabeçalho, mais adiante no cadeia de e-mail). Observe que um email que passa por vários saltos também pode ter alguns dos cabeçalhos mais profundos falsificados. Você precisa ir para baixo, vendo em quais cabeçalhos (ou seja, sites) você confia.Received: from abc.com (IP address) by something.google.com (IP)(supondo que você tenha o Gmail - caso contrário by, será diferente). Agora, este cabeçalho foi escrito pela byparte. Comece no topo, os primeiros Received:cabeçalhos não terão um from/ by. Encontre o primeiro com esses. Sua byserão pertencente ao seu provedor de e-mail - que você confia. Veja se você confia no frome, se o fizer, vá para o próximo Received:cabeçalho (no qual você confia agora) e assim por diante. Se você não confiar em um cabeçalho intermediário, todos os itens abaixo não serão confiáveis ​​- eles podem ter sido falsificados.

No entanto, o Gmail geralmente detecta falsificações e coloca uma espécie de nota de rodapé "[email protected] via [email protected]" no email. Observe que há usos perfeitamente legítimos de falsificação de email - muitas listas de email falsificam emails para uma experiência mais suave. O mesmo acontece com certos fóruns / quadros de mensagens. Aqui, eles enviam o e-mail para parecer que veio do pôster original. O Reply-To:cabeçalho está definido como list / webapp / qualquer ID de email, portanto, responder a ele, por padrão, vai para a lista (/ etc). A lista pode, então, lidar com ela como achar melhor - pode verificar se há spam, talvez suspender a moderação etc. é exatamente o que você queria - poder ter discussões por email sem usar "Responder a todos"

O que alguns spoofers "legítimos" fazem é definir o Sender:cabeçalho para seu próprio ID. Supõe-se que isso significa "Enviado por Senderem nome de From". Observe que a presença de um Sender:cabeçalho não significa nada quando se trata de falsificação "ilegítima" - esse cabeçalho também é falsificado. Como eu disse, a única maneira de verificar é através dos Receivedcabeçalhos.

Manishearth
fonte
5
Obrigado! E também obrigado por esse último uso legítimo. Muito informativo!
Bram Vanroy 14/11
Como a falsificação deve melhorar a experiência. O único impacto que encontrei foi negativo. O Outlook efetivamente não me permite colocar as mensagens na lista de permissões (para download automático de imagem) porque cada uma vem de um endereço [email protected] diferente.
11559 Dan Neely
11
@ DanNeely: Bem, sem falsificação, todos os e-mails parecem vir de [email protected]. Fica confuso quando você quer PM de alguém, e é difícil acompanhar quem você está falando. A falsificação faz parecer que você está apenas conversando com várias pessoas, exceto que a lista de discussão é uma entidade intermediária (necessária para arquivamento e moderação). O que você quer dizer com cada um vem de uma lista de endereços diferente? Provavelmente é apenas uma lista específica.
Manishearth
@Manishearth Eu estava pensando na "Lista de Lamentações" do desespero.com (tecnicamente um e-mail de marketing, mas eu o subscrevo pelo valor de humor). Estou no trabalho e não consigo copiar o que recebo no Outlook em casa; mas o gmail mostra como ex The Wailing List [email protected] via mail17.us2.mcsv.net os subdomínios # e-mail # e nós variam de uma mensagem para a seguinte. Tenho várias outras assinaturas com problemas semelhantes nos serviços de correio de terceiros.
Dan Neely
@DanNeely normalmente você usaria spoofing comoAlice <[email protected]> via [email protected]
Stop Harming Monica
11

É trivial usar um endereço "de" falso. A maneira iniciante é simplesmente editar as configurações do seu cliente de email e alterar o padrão do endereço. Muitos provedores de serviços enviarão um email com um campo falso, porque o servidor de email não sabe o que é real.

Os spammers usam software personalizado dedicado e sempre usam endereços falsos.

Peter Jenkins
fonte