Comment pouvez-vous simuler une adresse e-mail?

56

Récemment, une personne m'a demandé si un email qu'elle avait reçu était du spam. Cela semblait provenir d'une banque bien connue (Belfius.be) en Belgique. Elle a déclaré que certaines informations étaient obsolètes et qu’elles devaient être révisées. Bien sûr, la première chose qui me vient à l’esprit est qu’il s’agit de spam. Pourquoi?

  • Charges d'erreurs de langage, de mauvaises phrases ...
  • Le lien qui a été fourni était un lien pervers : il a semblé qu'il aboutissait au site Web de belfius (quelque chose comme belfius.be/revision1285 ). Mais lorsque vous la survolez, vous pouvez voir que cela renvoie en réalité à un site Web complètement différent. Un domaine .ca même.

Maintenant, j'ai immédiatement dit: Ne clique pas sur ce lien, mais quelque chose m'a fait me demander. Le courrier électronique de l'expéditeur était noreply@belfius.be et belfius.be est le site Web officiel de la banque. Donc, que cela peut-il être? Comment peuvent - ils faux leur emailaddress?

email  phishing 
Bram Vanroy
source
2
Ce type de courrier est généralement connu sous le nom de phishing, ce qui peut être considéré comme du spam, même si je pense que le spam est plus inoffensif et tente de vous vendre des contenus et non d'accéder à vos comptes.
RD
37
Je peux vous envoyer une lettre par la poste qui dit que cela vient du père Noël. Le seul cadeau serait le cachet de la poste en Californie. Même chose avec les emails, plus ou moins.
David Schwartz
1
La commande MAIL FROM de SMTP et le champ d'en-tête Mail de la FIOM peuvent contenir des adresses usurpées.
james.garriss
1
Essayez-le vous-même: deadfake.com/Send.aspx
Mark E. Haase

Réponses:

79

Facile. En modifiant l'en- From:tête lors de l'envoi du courrier. C'est ce qu'on appelle "l'usurpation de courrier électronique" . L'en-tête De: est facilement modifiable si vous envoyez le courrier via PHP ou quelque chose du genre, aucune astuce n'est requise. Ce qui n’est pas éditable, c’est bien l’adresse IP / le nom de domaine du site dont il provient. Si vous consultez le texte en clair (dans Gmail, accédez au menu situé à côté du bouton de réponse et "afficher le message d'origine"), les en- Received:têtes renferment toutes les informations relatives à son chemin d'accès (plus l'en- Received:tête est profond , plus l'arrière est proche). chaîne d'email c'est). Notez qu'un courrier électronique passant par plusieurs sauts peut également être falsifié sur certains en-têtes plus profonds. Vous devez aller vers le bas pour voir quels en-têtes (c.-à-d. Sites) vous faites confiance.Received: from abc.com (IP address) by something.google.com (IP)(en supposant que vous ayez Gmail - sinon, ce bysera différent). Maintenant, cet en-tête a été écrit par la bypartie. Commencez par le haut, les premiers en- Received:têtes n'auront pas de from/ by. Trouvez le premier avec ceux-ci. Il byappartiendra à votre fournisseur de messagerie - en qui vous avez confiance. Voyez si vous avez confiance en from, et si vous avez confiance , passez à l'en- Received:tête suivant (auquel vous faites maintenant confiance), et ainsi de suite. Si vous ne faites pas confiance à un en-tête entre ceux-ci, tous ceux en-dessous ne sont pas fiables - ceux-ci peuvent avoir été usurpés.

Cependant, Gmail détecte généralement l'usurpation d'identité et ajoute une sorte de "hatnote" à l'abc@def.com via ghi@jkl.com. Notez qu'il existe des utilisations parfaitement légitimes de l'usurpation d'email - de nombreuses listes de diffusion usinent des e-mails pour une expérience plus fluide. Il en va de même pour certains forums / forums. Ici, ils envoient l'e-mail pour donner l'impression que cela provient de l'affiche originale. L'en- Reply-To:tête est défini sur la liste / webapp / quel que soit l'identifiant de l'e-mail. Par conséquent, la réponse à cette question ira par défaut à la liste (/ etc). La liste peut ensuite la traiter comme bon lui semble. Elle peut vérifier le spam, peut-être suspendue pour modération, etc. Quand elle veut l'envoyer, elle falsifie votre adresse et l'envoie à toutes les personnes figurant sur la liste (qui est exactement ce que vous vouliez - pouvoir avoir des discussions par courrier électronique sans utiliser "Répondre à tous"

Ce que font certains spoofers "légitimes", c'est qu'ils définissent l'en- Sender:tête avec leur propre identifiant. Ceci est censé signifier "Envoyé par Senderde la part de From". Notez que la présence d'un en- Sender:tête ne veut rien dire en matière d'usurpation d'identité "illégitime" - cet en-tête est également usurpable. Comme je l'ai dit, le seul moyen de vérifier consiste à utiliser les en- Receivedtêtes.

Manishearth
source
5
Je vous remercie! Et aussi merci pour cette dernière utilisation légitime. Très informatif!
Bram Vanroy
Comment le spoofing est-il censé améliorer l'expérience? Le seul impact que j'ai rencontré est négatif. Outlook ne me laissera effectivement pas figurer dans la liste blanche des messages (pour le téléchargement automatique d'images), car chacun provient d'une adresse mailist différente@randomnumber.maillistcompany.com.
Dan Neely
1
@ DanNeely: Eh bien, sans usurpation d'identité, tous les courriels sembleraient provenir de list@domain.com. Cela devient confus quand vous voulez PM, et il est difficile de savoir à qui vous parlez. Le spoofing donne l'impression que vous êtes en train de converser avec un groupe de personnes, sauf que la liste de diffusion est une entité intermédiaire (nécessaire pour l'archivage et la modération). Que voulez-vous dire que chacun provient d'une liste de diffusion différente addy? C'est probablement juste une liste particulière.
Manishearth
@Manishearth Je pensais à la "liste des lamentations" de despair.com (techniquement, un mail marketing mais je m'inscris pour la valeur humour). Je suis au travail, donc je ne peux pas copier ce que j'obtiens dans Outlook à la maison; mais Gmail le montre sous la forme ex The Wailing List wailinglist@despair.com via mail17.us2.mcsv.net . Les sous-domaines mail # et us # varient d'un message à l'autre. Je plusieurs autres abonnements avec des problèmes similaires à partir de leurs services de messagerie tiers.
Dan Neely
@DanNeely d'habitude vous utiliseriez spoofing commeAlice <alice@example.com> via list@example2.com
Stop Harming Monica
11

Il est trivial d'utiliser une fausse adresse "de". Pour les débutants, il suffit de modifier les paramètres de votre client de messagerie et de modifier l'adresse par défaut. De nombreux fournisseurs de services vont envoyer un email avec un faux de terrain parce que le serveur de messagerie ne sait pas quel est le vrai.

Les spammeurs utilisent des logiciels personnalisés et utilisent toujours des faux adresses.

Peter Jenkins
source
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.