Bagaimana Anda bisa memalsukan alamat email?

56

Baru-baru ini seseorang bertanya kepada saya apakah email yang ia terima adalah spam. Tampaknya berasal dari bank terkenal (Belfius.be) di Belgia. Disebutkan bahwa beberapa informasi sudah ketinggalan zaman dan perlu direvisi. Tentu saja, hal pertama yang terlintas dalam pikiran adalah bahwa itu adalah spam. Mengapa?

  • Banyak kesalahan dalam bahasa, kalimat yang buruk ...
  • Tautan yang disediakan adalah tautan jahat : tautan itu muncul seolah mengarah ke situs web belfius (sesuatu seperti belfius.be/revision1285 ). Tetapi ketika melayang di atasnya, Anda bisa melihat bahwa itu benar-benar merujuk ke situs web yang sepenuhnya lain. Bahkan domain .ca.

Sekarang, saya langsung berkata Jangan klik tautan itu tetapi ada sesuatu yang membuat saya heran. Email pengirim adalah [email protected] dan belfius.be adalah situs web resmi bank. Jadi, bagaimana ini bisa terjadi? Bagaimana mereka bisa memalsukan alamat email mereka?

email phishing Bram Vanroy
sumber
2
Email semacam ini umumnya dikenal sebagai phishing, yang dapat dianggap sebagai spam, meskipun saya pikir spam lebih berbahaya dan mencoba untuk menjual barang kepada Anda, bukan mendapatkan akses ke akun Anda.
RD
37
Saya bisa mengirim surat kepada Anda yang mengatakan itu dari Santa Claus. Satu-satunya hadiah adalah cap pos California. Sama halnya dengan email, kurang lebih.
David Schwartz
1
Perintah MAIL FROM dari SMTP dan bidang header Surat IMF dapat berisi alamat palsu.
james.garriss
1
Cobalah sendiri: deadfake.com/Send.aspx
Mark E. Haase

Jawaban:

79

Sederhana. Dengan mengedit From:tajuk saat mengirim surat. Ini dikenal sebagai "Spoofing email" . Header Dari: dengan mudah dapat diedit jika Anda mengirim surat melalui PHP atau sesuatu, tidak ada trik mewah yang diperlukan. Apa yang tidak dapat diedit, adalah alamat IP / nama domain dari situs asalnya. Jika Anda memeriksa email teks biasa (di Gmail, buka menu di sebelah tombol jawab, dan "tampilkan pesan asli"), Received:tajuk membawa semua informasi tentang jalurnya (Semakin dalam Received:tajuk, semakin jauh ke belakang di tajuk rantai emailnya adalah). Perhatikan bahwa email yang melewati beberapa hop dapat membuat beberapa header yang lebih dalam juga dipalsukan. Anda harus turun ke bawah, melihat tajuk mana (yaitu situs) yang Anda percayai.Received: from abc.com (IP address) by something.google.com (IP)(dengan asumsi Anda memiliki Gmail - jika tidak maka byakan berbeda). Sekarang, tajuk ini ditulis oleh bybagian. Mulai dari atas, beberapa Received:tajuk pertama tidak akan memiliki from/ by. Temukan yang pertama dengan itu. Ini byakan menjadi milik penyedia email Anda - yang Anda percayai. Lihat apakah Anda mempercayai from, dan jika ya, lanjutkan ke Received:tajuk berikutnya (yang sekarang Anda percayai), dan seterusnya. Jika Anda tidak mempercayai tajuk di antaranya, semua yang di bawahnya tidak dapat dipercaya - yang mungkin palsu.

Gmail umumnya mendeteksi spoofing, dan menempatkan semacam "hatcote" [email protected] via [email protected] "di email. Perhatikan bahwa ada penggunaan spoofing email yang sah - banyak mailing list spoof untuk pengalaman yang lebih lancar. Begitu juga forum / papan pesan tertentu. Di sini, mereka mengirim email agar terlihat seperti berasal dari poster aslinya. The Reply-To:header diatur untuk daftar / webapp / apapun email id, sehingga membalas itu akan secara default pergi ke dalam daftar (/ etc). Daftar itu kemudian dapat mengatasinya sesuai keinginan - daftar itu dapat memeriksa spam, mungkin menunggu untuk moderasi, dll. Ketika ingin mengirimkannya, itu akan menipu alamat Anda dan mengirimkannya kepada semua orang dalam daftar (yang persis seperti yang Anda inginkan - untuk dapat berdiskusi berdasarkan email tanpa menggunakan "Balas ke Semua"

Yang dilakukan oleh beberapa spoofer "sah" adalah mereka mengatur Sender:header ke id mereka sendiri. Ini seharusnya berarti "Dikirim oleh Senderatas nama From". Perhatikan bahwa keberadaan Sender:tajuk tidak berarti apa-apa saat melakukan spoofing "tidak sah" - tajuk itu juga spoofable. Seperti saya katakan, satu-satunya cara untuk memeriksa adalah melalui Receivedheader.

Manishearth
sumber
5
Terima kasih! Dan juga terima kasih untuk penggunaan terakhir yang sah. Sangat informatif!
Bram Vanroy
Bagaimana spoofing seharusnya meningkatkan pengalaman. Satu-satunya dampak yang saya temui darinya adalah negatif. Outlook secara efektif tidak akan membiarkan saya memasukkan daftar putih pesan (untuk pengunduhan gambar otomatis) karena masing-masing berasal dari alamat [email protected] yang berbeda.
Dan Neely
1
@DanNeely: Ya, tanpa spoofing, semua email akan muncul dari [email protected]. Itu membingungkan ketika Anda ingin PM seseorang, dan sulit untuk melacak siapa yang Anda ajak bicara. Spoofing membuatnya seolah-olah Anda hanya melakukan percakapan dengan sekelompok orang, kecuali bahwa milis adalah entitas perantara (diperlukan untuk pengarsipan dan moderasi). Apa maksud Anda masing-masing berasal dari addy mailing list yang berbeda? Itu mungkin hanya daftar tertentu.
Manishearth
@Manishearth Saya sedang memikirkan "Wailing List" despair.com (secara teknis surat pemasaran tetapi saya berlangganan untuk nilai humor). Saya sedang bekerja sehingga saya tidak bisa menyalin apa yang saya dapatkan di rumah; tetapi gmail menunjukkannya sebagai ex The Wailing List [email protected] via mail17.us2.mcsv.net , subdomain # dan mail # berbeda dari satu pesan ke pesan berikutnya. Saya beberapa langganan lain dengan masalah serupa dari layanan pengiriman surat pihak ke-3.
Dan Neely
@Dan Tidak biasanya Anda akan menggunakan spoofing sepertiAlice <[email protected]> via [email protected]
Stop Harming Monica
11

Ini sepele untuk menggunakan alamat 'dari' palsu. Cara pemula hanya dengan mengedit pengaturan di klien email Anda dan mengubah default dari alamat. Banyak penyedia layanan akan mengirim email dengan bidang palsu karena server email tidak tahu apa yang asli.

Spammer menggunakan perangkat lunak khusus dan selalu menggunakan alamat palsu.

Peter Jenkins
sumber