Hoe Scammers e-mailadressen smeden en hoe u het kunt zien
Beschouw dit als een aankondiging van een openbare dienst: oplichters kunnen e-mailadressen smeden. Uw e-mailprogramma kan zeggen dat een bericht afkomstig is van een bepaald e-mailadres, maar mogelijk afkomstig is van een ander adres.
E-mailprotocollen verifiëren niet dat adressen legitiem zijn - oplichters, phishers en andere kwaadwillende personen gebruiken deze zwakte in het systeem. U kunt de koppen van een verdachte e-mail bekijken om te zien of het adres vervalst is.
Hoe e-mail werkt
Uw e-mailsoftware laat zien van wie een e-mail afkomstig is in het veld "Van". Er wordt echter geen verificatie uitgevoerd. Uw e-mailsoftware kan niet achterhalen of een e-mail daadwerkelijk afkomstig is van de persoon waarvan de e-mail afkomstig is. Elke e-mail bevat een 'From'-header, die kan worden vervalst. Zo kan elke oplichter u een e-mail sturen die lijkt te zijn verzonden van [email protected]. Uw e-mailclient zou u vertellen dat dit een e-mail is van Bill Gates, maar deze kan niet worden gecontroleerd.
E-mails met vervalste adressen kunnen afkomstig zijn van uw bank of een ander legitiem bedrijf. Ze zullen je vaak om gevoelige informatie vragen, zoals je creditcardgegevens of burgerservicenummer, misschien nadat je op een link hebt geklikt die leidt naar een phishing-site die is ontworpen om eruit te zien als een legitieme website.
Denk aan het veld 'Van' van een e-mail als het digitale equivalent van het retouradres dat wordt afgedrukt op enveloppen die u per post ontvangt. Over het algemeen plaatsen mensen een correct retouradres bij e-mail. Iedereen kan echter alles schrijven wat ze willen in het veld voor het retouradres - de postdienst verifieert niet dat een brief eigenlijk van het retouradres is afgedrukt..
Toen SMTP (Simple Mail Transfer Protocol) in de jaren tachtig werd ontworpen voor gebruik door universiteiten en overheidsinstanties, was verificatie van afzenders geen probleem.
Hoe de headers van een e-mail te onderzoeken
U kunt meer informatie over een e-mail bekijken door in de kopteksten van de e-mail te graven. Deze informatie bevindt zich in verschillende gebieden in verschillende e-mailclients - het kan de 'bron' of 'kop' van de e-mail worden genoemd.
(Het is natuurlijk in het algemeen een goed idee om verdachte e-mails volledig te negeren - als u helemaal niet zeker bent van een e-mail, is dit waarschijnlijk een oplichterij.)
In Gmail kunt u deze informatie bekijken door op de pijl in de rechterbovenhoek van een e-mail te klikken en te selecteren Toon origineel. Hier wordt de onbewerkte inhoud van de e-mail weergegeven.
Hieronder vindt u de inhoud van een actuele spam-e-mail met een vervalst e-mailadres. We zullen uitleggen hoe we deze informatie kunnen decoderen.
Delivered-To: [MIJN E-MAILADRES]
Ontvangen: door 10.182.3.66 met SMTP id a2csp104490oba;
Zat, 11 augustus 2012 15:32:15 -0700 (PDT)
Ontvangen: door 10.14.212.72 met SMTP-id x48mr8232338eeo.40.1344724334578;
Zat, 11 augustus 2012 15:32:14 -0700 (PDT)
Terugweg:
Ontvangen: van 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
door mx.google.com met ESMTP id c41si1698069eem.38.2012.08.11.15.32.13;
Zat, 11 augustus 2012 15:32:14 -0700 (PDT)
Received-SPF: neutraal (google.com: 72.255.12.30 is niet toegestaan of geweigerd door de beste gokrecord voor domein van [email protected]) client-ip = 72.255.12.30;
Verificatie-resultaten: mx.google.com; spf = neutraal (google.com: 72.255.12.30 is niet toegestaan of ontkend door de beste schatting van het domein voor [email protected]) [email protected]
Ontvangen: door vwidxus.net id hnt67m0ce87b voor; Zo, 12 aug 2012 10:01:06 -0500 (envelop-van)
Ontvangen: van vwidxus.net door web.vwidxus.net met local (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
voor [email protected]; Zo, 12 augustus 2012 10:01:06 -0500...
Van: "Canadian Pharmacy" [email protected]
Er zijn meer headers, maar dit zijn de belangrijkste: ze verschijnen bovenaan de ruwe tekst van de e-mail. Als u deze kopteksten wilt begrijpen, begint u onderaan - deze koppen volgen de route van de e-mail van de afzender naar u. Elke server die de e-mail ontvangt, voegt meer headers toe aan de top - de oudste headers van de servers waar de e-mail begon, bevinden zich onderaan.
De "From" -kop aan de onderkant beweert dat de e-mail afkomstig is van een @ yahoo.com-adres - dit is slechts een stukje informatie dat bij de e-mail staat; het kan alles zijn. Hierboven kunnen we echter zien dat de e-mail voor het eerst werd ontvangen door "vwidxus.net" (hieronder) voordat deze werd ontvangen door de e-mailservers van Google (hierboven). Dit is een rode vlag - we zouden verwachten dat de header "Ontvangen:" de lijst ziet als een van Yahoo! 'S e-mailservers.
De betrokken IP-adressen kunnen u ook aan het licht brengen - als u een verdachte e-mail ontvangt van een Amerikaanse bank, maar het IP-adres dat is ontvangen van de afwikkelingen naar Nigeria of Rusland, is dat waarschijnlijk een vervalst e-mailadres.
In dit geval hebben de spammers toegang tot het adres "[email protected]", waar ze antwoorden op hun spam willen ontvangen, maar ze smeden sowieso het veld "Van:". Waarom? Waarschijnlijk omdat ze geen enorme hoeveelheden spam kunnen verzenden via de servers van Yahoo! - ze worden opgemerkt en worden uitgeschakeld. In plaats daarvan sturen ze spam vanaf hun eigen servers en vervalsen ze hun adres.