Recientemente alguien me preguntó si un correo electrónico que recibió era spam. Parecía ser de un conocido banco (Belfius.be) en Bélgica. Declaró que cierta información estaba desactualizada y que necesitaba revisión. Por supuesto, lo primero que viene a la mente es que es spam. ¿Por qué?
- Un montón de errores en el lenguaje, malas oraciones ...
- El enlace que se proporcionó era un enlace maligno : parecía como si condujera al sitio web de belfius (algo así como belfius.be/revision1285 ). Pero al pasar el mouse sobre él, se puede ver que en realidad se refería a un sitio web completamente diferente. Un dominio .ca incluso.
Ahora, inmediatamente dije No hagas clic en ese enlace, pero algo me hizo preguntarme. El correo electrónico del remitente fue [email protected] y belfius.be es el sitio web oficial del banco. ¿Entonces como puede ser esto? ¿Cómo pueden fingir su dirección de correo electrónico?
Respuestas:
Sencillo. Al editar el
From:
encabezado al enviar el correo. Esto se conoce como "suplantación de correo electrónico" . El encabezado De: es fácilmente editable si está enviando el correo a través de PHP o algo así, no se requieren trucos sofisticados. Sin embargo, lo que no es editable es la dirección IP / nombre de dominio del sitio desde el que se originó. Si revisa el correo electrónico de texto sin formato (en Gmail, vaya al menú al lado del botón de respuesta y "muestre el mensaje original"), losReceived:
encabezados llevan toda la información sobre su ruta (Cuanto más profundo sea elReceived:
encabezado, más atrás en el cadena de correo electrónico es). Tenga en cuenta que un correo electrónico que pasa por varios saltos también puede tener algunos de los encabezados más profundos falsificados. Debe ir hacia abajo para ver en qué encabezados (es decir, sitios) en los que confía.Received: from abc.com (IP address) by something.google.com (IP)
(suponiendo que tenga Gmail; de lo contrarioby
, será diferente). Ahora, este encabezado fue escrito por laby
parte. Comience en la parte superior, los primerosReceived:
encabezados no tendrán unfrom
/by
. Encuentra el primero con esos. Suby
serán pertenecientes a su proveedor de correo electrónico - que confíe. Vea si confía en elfrom
, y si lo hace, pase al siguienteReceived:
encabezado (en el que ahora confía), y así sucesivamente. Si no confía en un encabezado intermedio, no se puede confiar en todos los que están debajo; es posible que hayan sido falsificados.Sin embargo, Gmail generalmente detecta la suplantación de identidad y coloca una especie de "[email protected] via [email protected]" como una nota de sombrero en el correo electrónico. Tenga en cuenta que hay usos perfectamente legítimos de la suplantación de identidad de correo electrónico: muchas listas de correo falsifican correos electrónicos para una experiencia más fluida. También lo hacen ciertos foros / foros de mensajes. Aquí, envían el correo electrónico para que parezca que proviene del póster original. El
Reply-To:
encabezado se establece en la lista / webapp / cualquier ID de correo electrónico, por lo que responderá de forma predeterminada a la lista (/ etc). La lista puede tratarlo como mejor le parezca: puede verificar si hay correo no deseado, tal vez ponerlo en espera para moderación, etc. Cuando quiera enviarlo, falsificará su dirección y se la enviará a todos en la lista ( es exactamente lo que quería: poder tener discusiones basadas en correo electrónico sin usar "Responder a todos"Lo que hacen algunos falsificadores "legítimos" es que configuran el
Sender:
encabezado a su propia identificación. Se supone que esto significa "Enviado porSender
en nombre deFrom
". Tenga en cuenta que la presencia de unSender:
encabezado no significa nada cuando se trata de falsificación "ilegítima", ese encabezado también es falsificable. Como dije, la única forma de verificar es a través de losReceived
encabezados.fuente
The Wailing List [email protected] via mail17.us2.mcsv.net
los subdominios mail # y us # varían de un mensaje a otro. Tengo varias otras suscripciones con problemas similares de sus servicios de correo de terceros.Alice <[email protected]> via [email protected]
Es trivial usar una dirección falsa 'de'. La forma para principiantes es simplemente editar la configuración en su cliente de correo y cambiar la dirección predeterminada. Muchos proveedores de servicios enviarán un correo electrónico con un campo falso porque el servidor de correo electrónico no sabe cuál es el verdadero.
Los spammers usan software personalizado dedicado y siempre usan direcciones falsas de direcciones.
fuente