¿Cómo puedes falsificar una dirección de correo electrónico?

56

Recientemente alguien me preguntó si un correo electrónico que recibió era spam. Parecía ser de un conocido banco (Belfius.be) en Bélgica. Declaró que cierta información estaba desactualizada y que necesitaba revisión. Por supuesto, lo primero que viene a la mente es que es spam. ¿Por qué?

  • Un montón de errores en el lenguaje, malas oraciones ...
  • El enlace que se proporcionó era un enlace maligno : parecía como si condujera al sitio web de belfius (algo así como belfius.be/revision1285 ). Pero al pasar el mouse sobre él, se puede ver que en realidad se refería a un sitio web completamente diferente. Un dominio .ca incluso.

Ahora, inmediatamente dije No hagas clic en ese enlace, pero algo me hizo preguntarme. El correo electrónico del remitente fue [email protected] y belfius.be es el sitio web oficial del banco. ¿Entonces como puede ser esto? ¿Cómo pueden fingir su dirección de correo electrónico?

email phishing Bram Vanroy
fuente
2
Este tipo de correos generalmente se conoce como phishing, que puede considerarse spam, aunque creo que el spam es más inofensivo e intenta venderle cosas, no obtener acceso a su (s) cuenta (s).
RD
37
Puedo enviarte una carta por correo que diga que es de Santa Claus. El único regalo sería el matasellos de California. Lo mismo con el correo electrónico, más o menos.
David Schwartz
1
Tanto el comando MAIL FROM de SMTP como el campo de encabezado de correo del IMF pueden contener direcciones falsificadas.
james.garriss
1
Pruébelo usted mismo: deadfake.com/Send.aspx
Mark E. Haase

Respuestas:

79

Sencillo. Al editar el From:encabezado al enviar el correo. Esto se conoce como "suplantación de correo electrónico" . El encabezado De: es fácilmente editable si está enviando el correo a través de PHP o algo así, no se requieren trucos sofisticados. Sin embargo, lo que no es editable es la dirección IP / nombre de dominio del sitio desde el que se originó. Si revisa el correo electrónico de texto sin formato (en Gmail, vaya al menú al lado del botón de respuesta y "muestre el mensaje original"), los Received:encabezados llevan toda la información sobre su ruta (Cuanto más profundo sea el Received:encabezado, más atrás en el cadena de correo electrónico es). Tenga en cuenta que un correo electrónico que pasa por varios saltos también puede tener algunos de los encabezados más profundos falsificados. Debe ir hacia abajo para ver en qué encabezados (es decir, sitios) en los que confía.Received: from abc.com (IP address) by something.google.com (IP)(suponiendo que tenga Gmail; de lo contrario by, será diferente). Ahora, este encabezado fue escrito por la byparte. Comience en la parte superior, los primeros Received:encabezados no tendrán un from/ by. Encuentra el primero con esos. Su byserán pertenecientes a su proveedor de correo electrónico - que confíe. Vea si confía en el from, y si lo hace, pase al siguiente Received:encabezado (en el que ahora confía), y así sucesivamente. Si no confía en un encabezado intermedio, no se puede confiar en todos los que están debajo; es posible que hayan sido falsificados.

Sin embargo, Gmail generalmente detecta la suplantación de identidad y coloca una especie de "[email protected] via [email protected]" como una nota de sombrero en el correo electrónico. Tenga en cuenta que hay usos perfectamente legítimos de la suplantación de identidad de correo electrónico: muchas listas de correo falsifican correos electrónicos para una experiencia más fluida. También lo hacen ciertos foros / foros de mensajes. Aquí, envían el correo electrónico para que parezca que proviene del póster original. El Reply-To:encabezado se establece en la lista / webapp / cualquier ID de correo electrónico, por lo que responderá de forma predeterminada a la lista (/ etc). La lista puede tratarlo como mejor le parezca: puede verificar si hay correo no deseado, tal vez ponerlo en espera para moderación, etc. Cuando quiera enviarlo, falsificará su dirección y se la enviará a todos en la lista ( es exactamente lo que quería: poder tener discusiones basadas en correo electrónico sin usar "Responder a todos"

Lo que hacen algunos falsificadores "legítimos" es que configuran el Sender:encabezado a su propia identificación. Se supone que esto significa "Enviado por Senderen nombre de From". Tenga en cuenta que la presencia de un Sender:encabezado no significa nada cuando se trata de falsificación "ilegítima", ese encabezado también es falsificable. Como dije, la única forma de verificar es a través de los Receivedencabezados.

Manishearth
fuente
55
¡Gracias! Y también gracias por ese último uso legítimo. ¡Muy informativo!
Bram Vanroy
¿Cómo se supone que la suplantación de identidad mejora la experiencia? El único impacto que he encontrado es negativo. Outlook efectivamente no me permite incluir en la lista blanca los mensajes (para la descarga automática de imágenes) porque cada uno proviene de una dirección diferente de [email protected].
Dan Neely
1
@DanNeely: Bueno, sin falsificaciones, todos los correos electrónicos parecerían provenir de [email protected]. Se vuelve confuso cuando quieres enviar un PM a alguien, y es difícil hacer un seguimiento de con quién estás hablando. La suplantación de identidad hace que parezca que solo está teniendo una conversación con un grupo de personas, excepto que la lista de correo es una entidad intermedia (necesaria para archivar y moderar). ¿Qué quieres decir con que cada uno proviene de una lista de correo diferente? Probablemente sea solo una lista en particular.
Manishearth
@Manishearth Estaba pensando en la "Lista de lamentos" de despair.com (técnicamente un correo de marketing pero me suscribo por el valor del humor). Estoy en el trabajo, así que no puedo copiar lo que veo en mi casa; pero gmail lo muestra como ex, The Wailing List [email protected] via mail17.us2.mcsv.net los subdominios mail # y us # varían de un mensaje a otro. Tengo varias otras suscripciones con problemas similares de sus servicios de correo de terceros.
Dan Neely
@DanNeely por lo general usarías la suplantación de identidadAlice <[email protected]> via [email protected]
deja de dañar a Monica el
11

Es trivial usar una dirección falsa 'de'. La forma para principiantes es simplemente editar la configuración en su cliente de correo y cambiar la dirección predeterminada. Muchos proveedores de servicios enviarán un correo electrónico con un campo falso porque el servidor de correo electrónico no sabe cuál es el verdadero.

Los spammers usan software personalizado dedicado y siempre usan direcciones falsas de direcciones.

Peter Jenkins
fuente