วิธีที่ Scammers ปลอมแปลงที่อยู่อีเมลและวิธีที่คุณบอกได้
พิจารณาการประกาศการบริการสาธารณะนี้: ผู้หลอกลวงสามารถปลอมที่อยู่อีเมลได้ โปรแกรมอีเมลของคุณอาจบอกว่าข้อความมาจากที่อยู่อีเมลที่แน่นอน แต่อาจมาจากที่อยู่อื่นทั้งหมด.
โปรโตคอลอีเมลไม่ตรวจสอบที่อยู่ว่าถูกต้องตามกฎหมาย - ผู้หลอกลวงฟิชเชอร์และบุคคลที่เป็นอันตรายอื่น ๆ ใช้ประโยชน์จากจุดอ่อนนี้ในระบบ คุณสามารถตรวจสอบส่วนหัวของอีเมลที่น่าสงสัยเพื่อดูว่าที่อยู่อีเมลถูกปลอมแปลงหรือไม่.
อีเมลทำงานอย่างไร
ซอฟต์แวร์อีเมลของคุณแสดงว่าใครเป็นคนที่มาจากอีเมลในช่อง“ จาก” อย่างไรก็ตามไม่มีการตรวจสอบความถูกต้องจริง ๆ - ซอฟต์แวร์อีเมลของคุณไม่มีทางรู้ได้เลยว่าอีเมลนั้นเป็นอีเมลจริงที่มาจากใคร อีเมลแต่ละฉบับมีส่วนหัว“ จาก” ซึ่งสามารถสร้างขึ้นมาได้ตัวอย่างเช่นนักต้มตุ๋นคนใดสามารถส่งอีเมลที่ดูเหมือนว่ามาจาก [email protected] ไคลเอนต์อีเมลของคุณจะบอกคุณว่านี่เป็นอีเมลจาก Bill Gates แต่ไม่มีวิธีการตรวจสอบจริง.
อีเมลที่มีที่อยู่ปลอมอาจดูเหมือนว่ามาจากธนาคารของคุณหรือธุรกิจอื่นที่ถูกกฎหมาย พวกเขามักจะขอข้อมูลที่ละเอียดอ่อนเช่นข้อมูลบัตรเครดิตหรือหมายเลขประกันสังคมของคุณหลังจากคลิกลิงก์ที่นำไปสู่ไซต์ฟิชชิงที่ออกแบบมาให้ดูเหมือนเว็บไซต์ที่ถูกกฎหมาย.
คิดว่าฟิลด์“ จาก” อีเมลเป็นดิจิตอลที่เทียบเท่าของที่อยู่ผู้ส่งที่พิมพ์บนซองจดหมายที่คุณได้รับทางไปรษณีย์ โดยทั่วไปผู้คนใส่ที่อยู่ผู้ส่งในอีเมล อย่างไรก็ตามทุกคนสามารถเขียนสิ่งที่พวกเขาชอบในฟิลด์ที่อยู่ผู้ส่ง - บริการไปรษณีย์ไม่ได้ตรวจสอบว่าจดหมายนั้นมาจากที่อยู่ผู้ส่งจริง.
เมื่อ SMTP (โปรโตคอลการถ่ายโอนเมลแบบง่าย) ได้รับการออกแบบในปี 1980 เพื่อการใช้งานโดยสถาบันการศึกษาและหน่วยงานรัฐบาลการตรวจสอบผู้ส่งไม่ใช่เรื่องที่น่ากังวล.
วิธีการตรวจสอบส่วนหัวของอีเมล
คุณสามารถดูรายละเอียดเพิ่มเติมเกี่ยวกับอีเมลได้โดยขุดลงในส่วนหัวของอีเมล ข้อมูลนี้ตั้งอยู่ในพื้นที่ที่แตกต่างกันในไคลเอนต์อีเมลที่แตกต่างกัน - มันอาจจะเรียกว่า "แหล่งที่มา" หรือ "ส่วนหัว" ของอีเมล
(โดยทั่วไปเป็นความคิดที่ดีที่จะไม่สนใจอีเมลที่น่าสงสัยอย่างสิ้นเชิง - หากคุณไม่แน่ใจเกี่ยวกับอีเมลมันอาจเป็นการหลอกลวง)
ใน Gmail คุณสามารถตรวจสอบข้อมูลนี้ได้โดยคลิกที่ลูกศรที่มุมขวาบนของอีเมลแล้วเลือก แสดงต้นฉบับ. นี่แสดงเนื้อหาดิบของอีเมล.
ด้านล่างนี้คุณจะพบเนื้อหาของอีเมลสแปมจริงด้วยที่อยู่อีเมลปลอม เราจะอธิบายวิธีถอดรหัสข้อมูลนี้.
ส่งถึง: [ที่อยู่อีเมลของฉัน]
ได้รับแล้ว: โดย 10.182.3.66 ด้วย SMTP id a2csp104490oba;
วันเสาร์ที่ 11 สิงหาคม 2555 เวลา 15:32:15 น. -0700 (PDT)
ได้รับแล้ว: โดย 10.14.212.72 ด้วย SMTP id x48mr8232338eeo.40.1344724334578
วันเสาร์ที่ 11 สิงหาคม 2555 เวลา 15:32:14 น. -0700 (PDT)
กลับเส้นทาง:
ได้รับ: จาก 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net [72.255.12.30])
โดย mx.google.com ด้วยรหัส ESMTP c41si1698069eem.38.2012.08.11.15.32.13
วันเสาร์ที่ 11 สิงหาคม 2555 เวลา 15:32:14 น. -0700 (PDT)
ได้รับ -SPF: เป็นกลาง (google.com: 72.255.12.30 ไม่อนุญาตหรือปฏิเสธโดยสถิติที่ดีที่สุดสำหรับโดเมนของ [email protected]) client-ip = 72.255.12.30;
ผลการตรวจสอบสิทธิ์: mx.google.com spf = neutral (google.com: 72.255.12.30 ไม่อนุญาตหรือปฏิเสธโดยบันทึกที่ดีที่สุดสำหรับโดเมนของ [email protected]) [email protected]
รับแล้ว: โดย vwidxus.net id hnt67m0ce87b สำหรับ; อา., 12 ส.ค. 2555 10:01:06 -0500 (ซองจดหมายจาก)
ได้รับ: จาก vwidxus.net โดย web.vwidxus.net กับท้องถิ่น (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
สำหรับ [email protected]; อา., 12 ส.ค. 2555 10:01:06 -0500...
จาก: "ร้านขายยาแคนาดา" [email protected]
มีส่วนหัวมากขึ้น แต่สิ่งเหล่านี้เป็นหัวข้อที่สำคัญ - จะปรากฏที่ส่วนบนของข้อความดิบของอีเมล เพื่อทำความเข้าใจส่วนหัวเหล่านี้ให้เริ่มจากด้านล่าง - ส่วนหัวเหล่านี้ติดตามเส้นทางของอีเมลจากผู้ส่งถึงคุณ เซิร์ฟเวอร์แต่ละเครื่องที่รับอีเมลจะเพิ่มส่วนหัวให้มากขึ้นไปด้านบน - ส่วนหัวที่เก่าแก่ที่สุดจากเซิร์ฟเวอร์ที่มีอีเมลเริ่มต้นอยู่ด้านล่าง.
ส่วนหัว“ จาก” ที่ด้านล่างอ้างว่าอีเมลนั้นมาจากที่อยู่ @ yahoo.com - นี่เป็นเพียงข้อมูลบางส่วนที่รวมอยู่ในอีเมล มันอาจเป็นอะไรก็ได้ อย่างไรก็ตามข้างต้นเราจะเห็นว่าอีเมลได้รับครั้งแรกโดย“ vwidxus.net” (ด้านล่าง) ก่อนที่จะได้รับจากเซิร์ฟเวอร์อีเมลของ Google (ด้านบน) นี่คือการตั้งค่าสถานะสีแดง - เราคาดหวังให้เห็นส่วนหัว“ รับ: ต่ำที่สุด” ในรายการเป็นหนึ่งในเซิร์ฟเวอร์อีเมลของ Yahoo!.
ที่อยู่ IP ที่เกี่ยวข้องอาจทำให้คุณสงสัย - หากคุณได้รับอีเมลที่น่าสงสัยจากธนาคารอเมริกัน แต่ที่อยู่ IP นั้นได้รับจากการแก้ไขไปยังไนจีเรียหรือรัสเซียนั่นอาจเป็นที่อยู่อีเมลปลอมแปลง.
ในกรณีนี้ผู้ส่งอีเมลขยะสามารถเข้าถึงที่อยู่“ [email protected]” ซึ่งพวกเขาต้องการรับการตอบกลับสแปมของพวกเขา แต่พวกเขากำลังปลอมช่อง“ จาก:” อยู่ดี ทำไม? อาจเป็นเพราะพวกเขาไม่สามารถส่งสแปมจำนวนมากผ่านเซิร์ฟเวอร์ของ Yahoo! - พวกเขาจะสังเกตเห็นและถูกปิดตัวลง แต่พวกเขากำลังส่งสแปมจากเซิร์ฟเวอร์ของตนเองและสร้างที่อยู่แทน.