Меню Затваряне

Как да разпознавам фалшиви имейл съобщения

mail_password

Представете си, че един ден получавате имейл от ваш приятел или от, да кажем, вашата банка. Изпращачът ви съобщава, че спешно трябва да му изпратите пари или че трябва да въведете данните си за достъп до електронно банкиране, за да бъде оторизиран вашия потребителски акаунт. Обзема ви съмнение дали писмото не е измама, затова правите най-бързата и сугурна проверка: сверявате дали имейл адресът, от който е получено, е автентичен. Все пак никой не може да изпраща фалшиви писма от чужд имейл адрес, нали така?

Всъщност може; и даже е много лесно. Намира се фалшифициране на имейли и позволява на един измамник да изпрати писмо от чужд имейл адрес. Така например преди известно време аз изпратих на себе си фалшиво писмо уж от собственика на една българска банка.

Фалшифицирането на имейли може да се превърне в много опасен инструмент в ръцете на измамника поне поради две причини:

1) Защото е изключително лесно. За да фалшифицирате едно писмо не е необходимо да имате достъп до чужда пощенската кутия. Ако например искате да изпратите на някого писмо от имейл адреса на президента, не е необходимо да знаете паролата на президентски акаунт.

2) Защото много потребители се доверяват сляпо на имейл адреса на изпращача и не проверяват дали писмото, което са получили, всъщност не е фалшиво.

Но как изобщо е възможно да се фалшифицира имейл адрес? За да отговорим на този въпрос, нека направим аналогия с обикновените хартиени писма. Представете си, че получите такова от ваш приятел от Варна. Докато го отваряте обаче забелязвате, че печатът на плика е от пощенска станция в Силистра. Което е странно, защото вие знаете, че ако го е пуснал от Варна, печатът също трябва да е от Варна. И тъй като вие много добре знаете, че вашият приятел никога не е стъпвал в Силистра, то най-вероятно някой, който се намира в Силистра, се представя за вашия приятел и на плика е написал адреса на приятеля ви във Варна.

Нещо подобно се случва при имейлите. Когато получите електронно писмо, вие виждате имейла на изпращача. Само че изпращачът може да манипулира писмото така, че да видите желания от него имейл. Например може да направи така, че писмото да изглежда като да е пуснато от имейл адреса на вашия банкер, мобилен оператор, от PayPal, от Amazon и от която друга компания се сетите. Вие прочитате адреса и тъй като виждате, че е автентичен (съвпада с адреса, от който досега сте получавали писма), това приспива вашите съмнения.

Как да проверите дали едно електронно писмо е истинско? За щастие проверката е лесна и в повечето случаи безпогрешно разкрива измамата, ако има такава. Когато изпращате имейл, освен вашия имейл адрес вие изпращате и много друга информация, включително и адреса на мейл сървъра, който ползвате.

Този сървър е първата точка, през която минава едно имейл съобщение, преди да отпътува до получателя си.  Тези адреси се съдържат във всеки имейл, който получавате и изпращате. Те се намират и могат да се видят в т.нар. „глава“ на съобщението (Header). За разлика от имейл адресите, те не могат да се фалшифицират в общия случа – така че служат като идентификатор за автентичност.

Обикновено (но не винаги) адресът на  сървъра е много близък или идентичен с домейна на имейл адреса. Например мейл сървърът на поща в abv.bg ще прилича на нещо такова: smtp-out.abv.bg; на Amazon:  amazon-smtp.amazon.com; на PayPal: data.ebay.com и т.н.

За да видите адреса на  сървъра, трябва да прегледате главата на съобщението. След като видите адреса, трябва да сравните дали той съвпада с истинския. ако двата адреса не съвпадат, то писмото е фалшиво.

Нека да го илюстрираме с реален пример. Ето как изглежда главата на писмо, изпратено от сайта на Комисията защита на конкуренцията:

Return-path: <notify@cpc.bg>
Envelope-to: ****@questona.com
Delivery-date: Mon, 08 Sep 2014 20:02:42 +0300
Received: from mail.cpc.bg ([212.122.188.234]:35781)
(Exim 4.82)
(envelope-from <notify@cpc.bg>)
for ****@questona.com; Mon, 08 Sep 2014 20:02:42 +0300
Received: from server05 (192.168.4.98) by mail.cpc.bg (192.168.6.100) with
Microsoft SMTP Server (TLS) id 14.3.123.3; Mon, 8 Sep 2014 20:02:16 +0300

А ето как изглежда фалшиво писмо, което на пръв поглед е от същия подател (notify@cpc.bg), но всъщност е изпратено от услугата за фалшиви имейли DeadFake:

Return-path: <notify@cpc.bg>
Envelope-to: ****@questona.com
Delivery-date: Tue, 09 Sep 2014 18:01:30 +0300
Received: from zebra732.startdedicated.com ([188.138.112.172]:53249)
(envelope-from <notify@cpc.bg>)
id 1XRMv7-0001PU-9F
for ****@questona.com; Tue, 09 Sep 2014 18:01:30 +0300
Received: from zebra732 ([127.0.0.1]) by zebra732.startdedicated.com with
Microsoft SMTPSVC(7.5.7601.17514);
Tue, 9 Sep 2014 16:01:28 +0100

Забелязахте ли разликата? Имейл адресът е един и същ – notify@cpc.bg. Но адресите на сървърите, от който са получени двете съобщения, са съвсем различни.

Как да видите главата на съобщението и кои са другите издайнически признаци, че едно писмо е фалшиво, ще разгледаме в отделна статия.

Related Posts

6 Comments

    • Questo

      Татяна, така написан адресът е непълен, защото няма разширение (например .com) Но така като гледам, всички домейни с това име и популярните разширения(.com, .net, .org) са свободни, което значи, че никой не притежава този домейн, което пък значи, че най-вероятно имейлът е фалшив.

    • Questo

      Здравейте, самият начин на изписване на имейла буди съмнения. Ако наистина писмото е от City bank of London (в Google не откривам информациа за такава банка) едва ли ще го изпратят от домейн europe.com.

      Направете следната проверка. Опитайте се да отговорите на писмото с Reply. Вижте какъв адрес ще се зареди в полето на получателя. Съвпада ли той с Citybankoflondon@europe.com? Ако не съвпада, вероятно това е фишинг. Но дори и да съвпада, това пак не доказва автентичността му.

      Ще трябва да видите от какъв сървър е изпратено съобщението. Влезте в Gmail акаунта си, отворете писмото и от бутончето с трите точки една под друга в горния десен ъгъл изберете „Показване на оригинала“. Ще видите дълга върволица от символи, адреси, IP адреси и т.н. Както е показано в статията, потърсете фразата Received, за да откриете адреса на сървъра. Обикновено той ще наподобява домейна на имейла, от който е изпратено писмото, както е описано и в статията.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *