Come rilevare e prevenire e-mail false?

3

Spero che questa domanda non sia la stessa di questo: E- la posta può essere fatta per apparire come proviene da una grande organizzazione?

Non sto chiedendo come proteggere i marchi e le grandi organizzazioni (Google, Yahoo, ecc.), ma come possono proteggersi gli utenti normali.

Per quanto ne so, ci sono worm che possono ottenere una rubrica di indirizzi e-mail e ci sono librerie di programmazione che consentono agli utenti di creare pacchetti.

Usando entrambi (rubando l'indirizzo e creando un pacchetto di posta elettronica e inviandolo al server giusto), un hacker malintenzionato dovrebbe essere in grado di inviare alla vittima un'e-mail che sembrerà provenire da uno dei suoi amici (chiedendo soldi per esempio).

Quindi, a parte il modo tipico, (chiamando quello che l'hacker ha affermato di essere), c'è un modo tecnico per rilevare tali messaggi falsi?

    
posta HSN 14.03.2013 - 02:56
fonte

3 risposte

5

La tua descrizione non è accurata, ma il risultato è lo stesso: i messaggi email che sembrano abbastanza autentici da ingannare i destinatari possono essere inviati . Nota che un modo comune per questo è che l'attaccante in realtà accedi al servizio email dei mittenti - quindi l'email falsa sarebbe identica a una vera e-mail in ogni aspetto, tranne che per la persona che lo compone.

Sono abbastanza sicuro che non esiste un modo affidabile per rilevare tali messaggi. È certamente possibile applicare una batteria di misurazioni per tenere conto della frequenza delle e-mail, dell'uso del linguaggio e di altre variabili, ma non conosco nulla di buono da utilizzare in modo diffuso. Inoltre, se qualcuno avesse creato un sistema del genere, lo avrebbero già rilasciato e goduto di centinaia di milioni di dollari di guadagni.

L'opzione più affidabile è che il destinatario metta in dubbio il mittente tramite un canale diverso se viene ricevuto un messaggio sospetto o insolito.

Esempio 1: ricevo un'email dal mio amico [email protected] che chiede denaro. Sospettoso, le mando un messaggio e lei risponde che l'email è autentica.

Esempio 2: ricevo un'email da [email protected] che richiede i dettagli della carta di credito per consegnare un pacco che ha sostenuto costi aggiuntivi. Guardo il numero di telefono del mio ufficio FedEx locale e chiedo loro, e loro rispondono che non ci sono pacchetti per la consegna al mio indirizzo.

    
risposta data 14.03.2013 - 04:03
fonte
4

Ad esempio se ricevi un messaggio da [email protected]. Ci sono modi in cui un utente malintenzionato può falsificare tale indirizzo e nella tua casella di posta elettronica il messaggio sembra provenire da tuo [email protected]. Ora, ci sono almeno 2 possibilità qui.

1. L'utente malintenzionato ha utilizzato un servizio malevolo per fare in modo che un'e-mail assomigli a sua [email protected]

2. L'autore dell'attacco ha avuto accesso all'account del tuo amico e ti ha inviato un'email.

Nel primo caso, puoi scoprire se la posta è effettivamente arrivata da un server di Google oppure no, ottenendo l'intestazione smtp (Mostra originale in gmail) e quindi utilizzando qualcosa come link . È possibile incollare l'intestazione del messaggio di posta elettronica e scoprire se l'email è effettivamente stata generata da un server di google o da un server malevolo che consente lo spoofing dell'indirizzo. Di solito è possibile utilizzare questo servizio per tutti gli indirizzi sospetti o le e-mail sospette provenienti da indirizzi sembra autentico.

    
risposta data 14.03.2013 - 06:29
fonte
2

L'ho spiegato nella mia risposta qui .

Fondamentalmente, guardi le intestazioni (ci dovrebbe essere qualche opzione "visualizza originale" nel tuo provider di posta elettronica. Per GMail è "mostra messaggio originale" sotto la freccia di risposta). In particolare, le intestazioni Received: del tipo Received: from abc.com (IP address) by def.com (IP) . Queste intestazioni sono scritte dal server by , quando ricevono la tua email dal server from .

Supponiamo che tu usi GMail 1 . Le intestazioni più in basso Received: hanno la forma from something.google.com (IP) by somethingelse.google.com (IP) . Questi saranno corretti Se si vuole essere certi, fare una ricerca DNS inversa sugli IP e assicurarsi che corrispondano con il dominio dato.

Va bene. Ora, a un certo punto, mentre si sta risalendo la lista di intestazione, si troverà un'intestazione della forma from abc.com (IP) by something.google.com . Puoi fidarti anche di questa intestazione. Ora, controlla se from di questa intestazione corrisponde a by di quella sopra (verifica anche i DNS inversi). Inoltre, verifica se ti fidi veramente del server nella percentuale di% co_de di questa intestazione. Se il server è qualcosa come from (in pratica il nome di dominio di secondo livello non è attendibile), probabilmente non è affidabile e il resto delle intestazioni sopra potrebbe essere stato falsificato da esso. In caso contrario, sposta su un'intestazione e ripeti fino a raggiungere l'ultimo. Se riesci a raggiungere l'ultimo senza problemi di fiducia, l'email proviene da dove dichiara di essere.

1 Si noti che per la maggior parte dei principali provider di posta elettronica, GMail può stabilire se l'email è falsificata e mostrerà un messaggio "Da [email protected] via apple.com" o qualcosa del genere quando l'email non proviene da dove afferma di farlo. Si noti che questo ha usi legittimi nella mailing list, quindi non diffidare automaticamente di tutte le e-mail con un via in esse. (Diffidali se diffidi del dominio "via")

    
risposta data 14.03.2013 - 09:55
fonte

Leggi altre domande sui tag