Come gli indirizzi e-mail di Scammers Forge e come puoi dirlo

Considera questo un annuncio di servizio pubblico: gli Scammer possono falsificare gli indirizzi email. Il tuo programma di posta elettronica potrebbe dire che un messaggio proviene da un determinato indirizzo email, ma potrebbe provenire completamente da un altro indirizzo.

I protocolli di posta elettronica non verificano che gli indirizzi siano legittimi: scammer, phisher e altri individui malintenzionati sfruttano questa debolezza del sistema. Puoi esaminare le intestazioni di email sospette per vedere se il suo indirizzo è stato contraffatto.

Come funziona l'email

Il tuo software di posta elettronica mostra da chi arriva un'e-mail nel campo "Da". Tuttavia, non viene eseguita alcuna verifica: il tuo software di posta elettronica non ha modo di sapere se un messaggio di posta elettronica proviene effettivamente da chi dice di provenire. Ogni e-mail include un'intestazione "Da", che può essere falsificata - ad esempio, qualsiasi truffatore potrebbe inviarti un'email che sembra provenire da [email protected]. Il tuo client di posta elettronica ti direbbe che questa è una email di Bill Gates, ma non ha modo di verificarla.

Le e-mail con gli indirizzi contraffatti potrebbero apparire dalla tua banca o da un'altra attività legittima. Spesso ti chiedono informazioni sensibili come i dati della tua carta di credito o il numero di previdenza sociale, magari dopo aver cliccato su un link che porta a un sito di phishing progettato per sembrare un sito web legittimo.

Pensa al campo "Da" di una e-mail come l'equivalente digitale dell'indirizzo di ritorno stampato sulle buste che ricevi per posta. Generalmente, le persone mettono un indirizzo di ritorno preciso sulla posta. Tuttavia, chiunque può scrivere qualcosa che gli piace nel campo dell'indirizzo di ritorno - il servizio postale non verifica che una lettera sia effettivamente dall'indirizzo di ritorno stampato su di esso.

Quando SMTP (semplice protocollo di trasferimento della posta) è stato progettato negli anni '80 per l'uso da parte del mondo accademico e delle agenzie governative, la verifica dei mittenti non era un problema.

Come investigare le intestazioni di un'e-mail

Puoi vedere maggiori dettagli su un'e-mail scavando nelle intestazioni dell'email. Questa informazione si trova in diverse aree in diversi client di posta elettronica - potrebbe essere conosciuta come "fonte" o "header" dell'email.

(Ovviamente, è generalmente una buona idea ignorare completamente le e-mail sospette - se non sei affatto sicuro di un'email, probabilmente è una truffa.)

In Gmail, puoi esaminare queste informazioni facendo clic sulla freccia nell'angolo in alto a destra di un'email e selezionando Spettacolo originale. Questo visualizza i contenuti non elaborati della posta elettronica.

Sotto troverai il contenuto di una vera e-mail di spam con un indirizzo e-mail contraffatto. Spiegheremo come decodificare queste informazioni.

Consegnato a: [IL MIO INDIRIZZO E-MAIL]
Ricevuto: da 10.182.3.66 con SMTP id a2csp104490oba;
Sab, 11 ago 2012 15:32:15 -0700 (PDT)
Ricevuto: da 10.14.212.72 con ID SMTP x48mr8232338eeo.40.1344724334578;
Sab, 11 ago 2012 15:32:14 -0700 (PDT)
Sentiero di ritorno:
Ricevuto: da 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
di mx.google.com con ESMTP id c41si1698069eem.38.2012.08.11.15.32.13;
Sab, 11 ago 2012 15:32:14 -0700 (PDT)
Ricevuto-SPF: neutro (google.com: 72.255.12.30 non è consentito né negato dal miglior record di ipotesi per il dominio di [email protected]) client-ip = 72.255.12.30;
Risultati di autenticazione: mx.google.com; spf = neutro (google.com: 72.255.12.30 non è consentito né negato dal record di ipotesi migliore per il dominio di [email protected]) [email protected]
Ricevuto: da vwidxus.net id hnt67m0ce87b per; Dom 12 ago 2012 10:01:06 -0500 (busta-da)
Ricevuto: da vwidxus.net da web.vwidxus.net con locale (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
per [email protected]; Dom 12 ago 2012 10:01:06 -0500

...

Da: "Canadian Pharmacy" [email protected]

Ci sono più intestazioni, ma queste sono le più importanti - appaiono nella parte superiore del testo non elaborato dell'email. Per capire queste intestazioni, inizia dal basso: queste intestazioni tracciano il percorso dell'email dal mittente a te. Ogni server che riceve l'e-mail aggiunge più intestazioni verso l'alto - le intestazioni più vecchie dai server in cui l'email è stata avviata si trovano nella parte inferiore.

L'intestazione "Da" in basso afferma che l'email proviene da un indirizzo @ yahoo.com - questa è solo un'informazione inclusa nell'e-mail; potrebbe essere qualsiasi cosa. Tuttavia, sopra di esso possiamo vedere che l'email è stata prima ricevuta da "vwidxus.net" (sotto) prima di essere ricevuta dai server di posta elettronica di Google (sopra). Questa è una bandiera rossa - ci aspetteremmo di vedere l'intestazione più bassa "Ricevuto:" nell'elenco come uno dei server di posta elettronica di Yahoo!.

Gli indirizzi IP coinvolti potrebbero anche indurti a entrare - se ricevi un'e-mail sospetta da una banca americana ma l'indirizzo IP è stato ricevuto da risoluzioni in Nigeria o in Russia, è probabile che sia un indirizzo email falso.

In questo caso, gli spammer hanno accesso all'indirizzo "[email protected]", dove vogliono ricevere le risposte al loro spam, ma stanno forgiando comunque il campo "Da:". Perché? Probabilmente perché non possono inviare enormi quantità di spam tramite i server di Yahoo !, verrebbero notati e arrestati. Invece, stanno inviando spam dai propri server e falsificando il proprio indirizzo.