Como você pode fingir um endereço de e-mail?

55

Recentemente, alguém me perguntou se um email que ela recebeu era spam. Parecia ser de um banco bem conhecido (Belfius.be) na Bélgica. Afirmava que algumas informações estavam desatualizadas e precisavam de revisão. Naturalmente, a primeira coisa que vem à mente é que é spam. Por quê?

  • Cargas de erros no idioma, frases incorretas ...
  • O link que foi fornecido era um link evil : parecia que ele levava ao site da belfius (algo como ). Mas quando pairando sobre ele, você pode ver que ele realmente se refere a um outro site completamente diferente. Um domínio .ca mesmo.

Agora, eu disse imediatamente Não clique nesse link , mas algo me fez pensar. O email do remetente era [email protected] e belfius.be é o site oficial do banco. Então, como isso pode ser? Como eles podem falsificar seu emailaddress?

    
por Bram Vanroy 14.11.2012 / 12:23

2 respostas

77

Simples. Editando o cabeçalho From: ao enviar o email. Isso é conhecido como "E-mail spoofing" . O cabeçalho From: é facilmente editável se você estiver enviando o e-mail via PHP ou algo assim, sem necessidade de truques extravagantes. O que é não editável, embora seja o endereço IP / nome de domínio do site do qual se originou. Se você verificar o e-mail de texto sem formatação (no Gmail, vá para o menu ao lado do botão de resposta e "mostrar mensagem original"), os cabeçalhos Received: carregam todas as informações sobre seu caminho (Quanto mais profundo o cabeçalho Received: , quanto mais voltar na cadeia de e-mail é). Observe que um email que passa por vários saltos também pode ter alguns dos cabeçalhos mais profundos falsificados. Você precisa ir para baixo, ver em quais cabeçalhos (ou seja, sites) você confia. Cada cabeçalho dirá algo como Received: from abc.com (IP address) by something.google.com (IP) (supondo que você tenha o Gmail - caso contrário, o by será diferente). Agora, esse cabeçalho foi escrito pela parte by . Comece no topo, os primeiros Received: cabeçalhos não terão from / by . Encontre o primeiro com aqueles. Seu by será pertencente ao seu provedor de e-mail - no qual você confia. Veja se você confia no from e, se o fizer, vá para o próximo cabeçalho Received: (no qual agora confia), e assim por diante. Se você não confia em um cabeçalho no meio, todos os que estão abaixo não são confiáveis - eles podem ter sido falsificados.

No entanto, o Gmail geralmente detecta falsificação e coloca uma espécie de nota "[email protected] via [email protected]" no e-mail. Observe que há usos perfeitamente legítimos de falsificação de e-mail - muitas listas de discussão falsificam e-mails para uma experiência mais suave. Então, faça certos fóruns / quadros de mensagens. Aqui, eles enviam o e-mail para parecer que veio do pôster original. O cabeçalho Reply-To: está configurado para o ID de lista / webapp / whatever, portanto, responder a ele irá, por padrão, para a lista (/ etc). A lista pode lidar com isso da forma que achar melhor - pode verificar spam, talvez colocar em espera para moderação, etc. Quando quiser enviá-lo, ele irá falsificar seu endereço e enviá-lo para todos na lista (que é exatamente o que você queria -  para poder ter discussões por e-mail sem usar "Responder a todos" e manter uma lista de contatos para copiar e colar).

O que alguns spoofers "legítimos" fazem é que eles configuram o Sender: header para seu próprio id. Isso deve significar "Enviado por Sender em nome de From ". Observe que a presença de um cabeçalho Sender: não significa nada quando se trata de spoofing "ilegítimo" - esse cabeçalho é spoofable também. Como eu disse, a única maneira de verificar é através dos cabeçalhos Received .

    
por 14.11.2012 / 12:35
11

É trivial usar um falso 'de' endereço. O modo de iniciantes é simplesmente editar as configurações do seu cliente de e-mail e alterar o padrão do endereço. Muitos provedores de serviços enviarão um email com um campo falso porque o servidor de email não sabe qual é o real.

Os spammers usam software personalizado dedicado e sempre usam endereços falsos.

    
por 14.11.2012 / 12:33