Récemment, une personne m'a demandé si un email qu'elle avait reçu était du spam. Cela semblait provenir d'une banque bien connue (Belfius.be) en Belgique. Elle a déclaré que certaines informations étaient obsolètes et qu’elles devaient être révisées. Bien sûr, la première chose qui me vient à l’esprit est qu’il s’agit de spam. Pourquoi?
- Charges d'erreurs de langage, de mauvaises phrases ...
- Le lien qui a été fourni était un lien pervers : il a semblé qu'il aboutissait au site Web de belfius (quelque chose comme belfius.be/revision1285 ). Mais lorsque vous la survolez, vous pouvez voir que cela renvoie en réalité à un site Web complètement différent. Un domaine .ca même.
Maintenant, j'ai immédiatement dit: Ne clique pas sur ce lien, mais quelque chose m'a fait me demander. Le courrier électronique de l'expéditeur était [email protected] et belfius.be est le site Web officiel de la banque. Donc, que cela peut-il être? Comment peuvent - ils faux leur emailaddress?
Réponses:
Facile. En modifiant l'en-
From:
tête lors de l'envoi du courrier. C'est ce qu'on appelle "l'usurpation de courrier électronique" . L'en-tête De: est facilement modifiable si vous envoyez le courrier via PHP ou quelque chose du genre, aucune astuce n'est requise. Ce qui n’est pas éditable, c’est bien l’adresse IP / le nom de domaine du site dont il provient. Si vous consultez le texte en clair (dans Gmail, accédez au menu situé à côté du bouton de réponse et "afficher le message d'origine"), les en-Received:
têtes renferment toutes les informations relatives à son chemin d'accès (plus l'en-Received:
tête est profond , plus l'arrière est proche). chaîne d'email c'est). Notez qu'un courrier électronique passant par plusieurs sauts peut également être falsifié sur certains en-têtes plus profonds. Vous devez aller vers le bas pour voir quels en-têtes (c.-à-d. Sites) vous faites confiance.Received: from abc.com (IP address) by something.google.com (IP)
(en supposant que vous ayez Gmail - sinon, ceby
sera différent). Maintenant, cet en-tête a été écrit par laby
partie. Commencez par le haut, les premiers en-Received:
têtes n'auront pas defrom
/by
. Trouvez le premier avec ceux-ci. Ilby
appartiendra à votre fournisseur de messagerie - en qui vous avez confiance. Voyez si vous avez confiance enfrom
, et si vous avez confiance , passez à l'en-Received:
tête suivant (auquel vous faites maintenant confiance), et ainsi de suite. Si vous ne faites pas confiance à un en-tête entre ceux-ci, tous ceux en-dessous ne sont pas fiables - ceux-ci peuvent avoir été usurpés.Cependant, Gmail détecte généralement l'usurpation d'identité et ajoute une sorte de "hatnote" à l'[email protected] via [email protected]. Notez qu'il existe des utilisations parfaitement légitimes de l'usurpation d'email - de nombreuses listes de diffusion usinent des e-mails pour une expérience plus fluide. Il en va de même pour certains forums / forums. Ici, ils envoient l'e-mail pour donner l'impression que cela provient de l'affiche originale. L'en-
Reply-To:
tête est défini sur la liste / webapp / quel que soit l'identifiant de l'e-mail. Par conséquent, la réponse à cette question ira par défaut à la liste (/ etc). La liste peut ensuite la traiter comme bon lui semble. Elle peut vérifier le spam, peut-être suspendue pour modération, etc. Quand elle veut l'envoyer, elle falsifie votre adresse et l'envoie à toutes les personnes figurant sur la liste (qui est exactement ce que vous vouliez - pouvoir avoir des discussions par courrier électronique sans utiliser "Répondre à tous"Ce que font certains spoofers "légitimes", c'est qu'ils définissent l'en-
Sender:
tête avec leur propre identifiant. Ceci est censé signifier "Envoyé parSender
de la part deFrom
". Notez que la présence d'un en-Sender:
tête ne veut rien dire en matière d'usurpation d'identité "illégitime" - cet en-tête est également usurpable. Comme je l'ai dit, le seul moyen de vérifier consiste à utiliser les en-Received
têtes.la source
The Wailing List [email protected] via mail17.us2.mcsv.net
. Les sous-domaines mail # et us # varient d'un message à l'autre. Je plusieurs autres abonnements avec des problèmes similaires à partir de leurs services de messagerie tiers.Alice <[email protected]> via [email protected]
Il est trivial d'utiliser une fausse adresse "de". Pour les débutants, il suffit de modifier les paramètres de votre client de messagerie et de modifier l'adresse par défaut. De nombreux fournisseurs de services vont envoyer un email avec un faux de terrain parce que le serveur de messagerie ne sait pas quel est le vrai.
Les spammeurs utilisent des logiciels personnalisés et utilisent toujours des faux adresses.
la source