Une chaîne de messagerie a-t-elle été falsifiée?

0

cela va être un peu impliqué - mais nu avec moi.

Nous sommes une entreprise de taille moyenne et traitons avec de nombreux fournisseurs du monde entier. On m'a récemment demandé de regarder un billet qui était un peu déroutant. Apparemment, un utilisateur essayait de trouver un courrier électronique qu’il avait dit ne pas se rappeler d’avoir envoyé à un fournisseur. Les responsables de notre infrastructure ont déclaré que les journaux "WebSense" ne contenaient aucune information remontant jusque-là (juin). Par conséquent, il n'y avait aucune trace du courrier électronique dans les éléments supprimés, envoyés, etc., de quiconque.

J'ai examiné l'échange de courriels que le fournisseur avait transmis à notre collaborateur et j'ai remarqué quelque chose de suspect ... Dans la partie de la chaîne à laquelle notre collaborateur était censé répondre, il n'y avait pas de saut de ligne entre l'en-tête html (qui dit De / À / Sujet), alors qu'ailleurs il y en avait.

J'ai fait un "View Source" et ai jeté un coup d'oeil autour, et assez intéressant - autour de cette zone, j'ai trouvé beaucoup de:

<span class="XXXXXXXX 01092015">text</span>

Dans le texte ci-dessus, "XXXXXX" est un chiffre pour lequel je ne trouve ni rime ni raison, mais le chiffre qui suit représente clairement le 1er septembre. Cette classe "Span" a été trouvée dans la chaîne de courrier électronique dans le corps d'un courrier électronique datant de juin. Il a été trouvé dans le corps du texte de l'e-mail et également dans le message envoyé (si quelque chose devait suivre les modifications, quelqu'un voudrait changer l'apparence du moment où le message a été envoyé dans la chaîne). Donc, il y avait quelques exemples de cela. C'était très suspect qu'un tag datant du 1er septembre, dans la partie d'une chaîne de courrier électronique datée du mois de juin.

J'ai trouvé cette <span>balise sur toute la chaîne de messagerie. Un collègue a consulté plusieurs boîtes de réception et a trouvé tous les autres courriers électroniques envoyés dans la chaîne, à l'exception de celui qui semble avoir été modifié.

L'en-tête HTML a une balise de générateur MSHTML 11.

D'où vient cette <span>classe et y a-t-il eu falsification des courriels?

Note latérale: le fournisseur en question, je ne crois pas, est techniquement avisé.

Moo-Juice
la source
Existe-t-il des liens malveillants? Les emails de spearfishing contiennent généralement des liens malveillants.
Moab
@ Moab, non, il n'y avait pas de liens malveillants. Mais cet email provient d'un fournisseur connu - et nous pensons qu'un ou plusieurs emails d'une chaîne ont été modifiés.
Moo-Juice