Wie Betrüger E-Mail-Adressen schmieden und wie Sie es erkennen können
Betrachten Sie dies als öffentliche Bekanntmachung: Betrüger können E-Mail-Adressen fälschen. Ihr E-Mail-Programm gibt möglicherweise an, dass eine Nachricht von einer bestimmten E-Mail-Adresse stammt, sie kann jedoch auch vollständig von einer anderen Adresse stammen.
E-Mail-Protokolle bestätigen nicht, dass Adressen legitim sind - Betrüger, Phisher und andere böswillige Personen nutzen diese Schwachstelle im System aus. Sie können die Header einer verdächtigen E-Mail überprüfen, um festzustellen, ob ihre Adresse gefälscht wurde.
Wie funktioniert E-Mail?
Ihre E-Mail-Software zeigt im Absenderfeld an, von wem eine E-Mail stammt. Es wird jedoch keine Überprüfung durchgeführt - Ihre E-Mail-Software kann nicht feststellen, ob eine E-Mail tatsächlich von demjenigen stammt, von dem sie sagt, dass sie von ihr stammt. Jede E-Mail enthält einen "Von" -Header, der gefälscht werden kann. Beispielsweise könnte Ihnen jeder Betrüger eine E-Mail senden, die scheinbar von [email protected] stammt. Ihr E-Mail-Client würde Ihnen sagen, dass es sich um eine E-Mail von Bill Gates handelt, die jedoch nicht überprüft werden kann.
E-Mails mit gefälschten Adressen scheinen von Ihrer Bank oder einem anderen legitimen Unternehmen zu stammen. Sie werden häufig nach sensiblen Informationen wie Kreditkartendaten oder Sozialversicherungsnummern gefragt, nachdem Sie auf einen Link geklickt haben, der zu einer Phishing-Site führt, die wie eine legitime Website aussieht.
Stellen Sie sich das Absenderfeld einer E-Mail als digitales Äquivalent der Absenderadresse vor, die auf Umschlägen gedruckt ist, die Sie in der E-Mail erhalten. Im Allgemeinen geben die Leute eine genaue Absenderadresse an. Jeder kann jedoch beliebig in das Feld für die Rücksendeadresse schreiben. Der Postdienst überprüft nicht, ob ein Brief tatsächlich von der darauf gedruckten Absendeadresse stammt.
Als das SMTP-Protokoll (Simple Mail Transfer Protocol) in den achtziger Jahren für die Verwendung durch Wissenschaftler und Regierungsbehörden konzipiert wurde, war die Überprüfung der Absender kein Problem.
So untersuchen Sie die Header einer E-Mail
Weitere Details zu einer E-Mail finden Sie in den Kopfzeilen der E-Mail. Diese Informationen befinden sich in verschiedenen Bereichen in verschiedenen E-Mail-Clients - sie können als "Quelle" oder "Header" der E-Mail bezeichnet werden.
(Natürlich ist es generell eine gute Idee, verdächtige E-Mails gänzlich zu ignorieren. Wenn Sie sich bei einer E-Mail überhaupt nicht sicher sind, handelt es sich wahrscheinlich um einen Betrug.)
In Google Mail können Sie diese Informationen überprüfen, indem Sie auf den Pfeil in der oberen rechten Ecke einer E-Mail klicken und auswählen Original zeigen. Dies zeigt den rohen Inhalt der E-Mail an.
Nachfolgend finden Sie den Inhalt einer tatsächlichen Spam-E-Mail mit einer gefälschten E-Mail-Adresse. Wir werden erklären, wie man diese Informationen entschlüsselt.
Geliefert an: [MEINE E-MAIL-ADRESSE]
Erhalten: bis 10.182.3.66 mit SMTP-ID a2csp104490oba;
Sa 11 Aug 2012 15:32:15 -0700 (PDT)
Erhalten: bis 10.14.212.72 mit SMTP-ID x48mr8232338eeo.40.1344724334578;
Sa 11 Aug 2012 15:32:14 -0700 (PDT)
Der Weg zurück:
Erhalten: vom 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
von mx.google.com mit ESMTP-ID c41si1698069eem.38.2012.08.11.15.32.13;
Sa 11 Aug 2012 15:32:14 -0700 (PDT)
Received-SPF: neutral (google.com: 72.255.12.30 ist durch den besten Schätzwert für die Domäne "[email protected]" weder zugelassen noch abgelehnt) client-ip = 72.255.12.30;
Authentifizierungsergebnisse: mx.google.com; spf = neutral (google.com: 72.255.12.30 ist durch die besten Schätzwerte für die Domäne "[email protected]") weder zulässig noch verweigert
Erhalten: von vwidxus.net id hnt67m0ce87b für; So, 12 Aug 2012 10:01:06 -0500 (Umschlag aus)
Erhalten: von vwidxus.net von web.vwidxus.net mit local (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
für [email protected]; So, 12 Aug 2012 10:01:06 - 0500…
Aus: "Kanadische Apotheke" [email protected]
Es gibt mehr Kopfzeilen, aber diese sind wichtig - sie werden oben im Rohtext der E-Mail angezeigt. Um diese Header zu verstehen, beginnen Sie von unten - diese Header verfolgen die Route der E-Mail vom Absender zu Ihnen. Jeder Server, der die E-Mail erhält, fügt weitere Kopfzeilen hinzu - die ältesten Kopfzeilen der Server, von denen die E-Mail ausgeht, befinden sich unten.
Der "Von" -Header am unteren Rand behauptet, dass die E-Mail von einer @ yahoo.com-Adresse stammt - dies ist nur eine Information, die in der E-Mail enthalten ist. es könnte alles sein. Darüber können wir jedoch sehen, dass die E-Mail zuerst von „vwidxus.net“ (unten) empfangen wurde, bevor sie von den E-Mail-Servern von Google (oben) empfangen wurde. Dies ist eine rote Flagge - wir erwarten den niedrigsten Header "Received:" auf der Liste als einen der E-Mail-Server von Yahoo !..
Die beteiligten IP-Adressen können Sie auch als Hinweis auf die Informationen verwenden. Wenn Sie eine verdächtige E-Mail von einer amerikanischen Bank erhalten, die IP-Adresse jedoch von Nigeria oder Russland stammt, ist dies wahrscheinlich eine falsche E-Mail-Adresse.
In diesem Fall haben die Spammer Zugriff auf die Adresse „[email protected]“, an der sie Antworten auf ihren Spam erhalten möchten, aber sie fälschen trotzdem das Feld „Von:“. Warum? Wahrscheinlich, weil sie keine großen Mengen an Spam über die Server von Yahoo! senden können - sie werden aufgefallen und geschlossen. Stattdessen senden sie Spam von ihren eigenen Servern und fälschen ihre Adresse.