Spoofed email con firma digitale

1

Quindi ieri ho ricevuto un'e-mail da "paypal.com" (e sembra che la maggior parte delle persone lo abbia fatto anche (1) ) e ho verificato che le lettere ascii sono effettivamente quelle che appaiono (nessuna capitale I invece di L in paypal.com ecc.)

L'email sembra un ottimo tentativo di autenticità e supera i test che insegnano alla maggior parte delle persone su "come rilevare una e-mail di hoax":

  • Mi indirizza con il mio nome completo
  • Buon inglese
  • Nessun link falso
  • Nessun collegamento reale, cioè mi chiede di andare su PayPal invece
  • Nessuna chiamata all'azione pericolosa
  • Dall'indirizzo proviene da un dominio controlli paypal
  • Firmato da un dominio controlli paypal

Ci sono alcuni omaggi sospetti come l'indirizzo mail-by e se si scava nell'intestazione, le sezioni Return-Path e Receive sono strane.

La domanda è come è possibile che possano inviare un'email firmata digitalmente da un controllo paypal del dominio.

.

    
posta James 17.03.2018 - 07:12
fonte

2 risposte

2

Questo era un messaggio di marketing inviato (e firmato) per conto di PayPal.
È sicuro fare clic sul link di annullamento dell'iscrizione.

Come catturato dall'eccellente vista di riepilogo di GMail:

Vedilasezionemailed-by?mkt2944.comfapartedi Silverpop , un Provider di servizi di posta elettronica che è stato acquisito da IBM nel 2014 ed è stato recentemente inserito in IBM Watson Campaign Automation .

how is it possible that they can send a digitally signed email from a domain paypal controls?

Non è davvero possibile, anche se ci sono alcuni trucchi che possono farlo sembrare valido (ad esempio Mailsploit ). In questo caso, non è falsificato perché ha il permesso. Il server su bounce.paypal.mkt2944.com ha una chiave DKIM ospitata su alcuni domini paypal.com come indicato dal selettore DKIM (la parte s= dell'intestazione DKIM-Signature, quindi se fosse s=foo allora la chiave vivrebbe come un record TXT in foo._domainkey.paypal.com ).

    
risposta data 20.03.2018 - 23:00
fonte
0

AFAIK tutto il testo nell'email, comprese le intestazioni nascoste, viene modificato e trasmesso mentre l'email passa da un server all'altro, senza alcun processo di verifica. Un'intestazione che dice "inviato da foobar, verificato da mumble" è solo testo. Nell'e-mail possono esserci elementi verificabili come le firme digitali, ma devono essere verificati esternamente. Una cartolina che dice "hai vinto" non significa nulla finché non incassi l'assegno con successo.

    
risposta data 17.03.2018 - 20:19
fonte

Leggi altre domande sui tag