Comment les fraudeurs forgent-ils des adresses e-mail et comment le savoir?
Considérez ceci comme une annonce de service public: les fraudeurs peuvent falsifier des adresses électroniques. Votre programme de messagerie peut dire qu’un message provient d’une certaine adresse électronique, mais il peut également provenir d’une autre adresse..
Les protocoles de messagerie ne vérifient pas que les adresses sont légitimes - les fraudeurs, les hameçonneurs et d'autres personnes malveillantes exploitent cette faiblesse du système. Vous pouvez examiner les en-têtes d'un email suspect pour voir si son adresse a été falsifiée..
Comment fonctionne l'e-mail
Votre logiciel de messagerie affiche qui est un courrier électronique dans le champ "De". Cependant, aucune vérification n'est réellement effectuée - votre logiciel de messagerie n'a aucun moyen de savoir si un e-mail provient réellement de son destinataire. Chaque courrier électronique comprend un en-tête «De», qui peut être falsifié. Par exemple, tout fraudeur peut vous envoyer un courrier électronique qui semble provenir de [email protected]. Votre client de messagerie vous dira que c’est un courriel de Bill Gates, mais il n’a aucun moyen de vérifier.
Les e-mails avec des adresses falsifiées peuvent sembler provenir de votre banque ou d’une autre entreprise légitime. Ils vous demanderont souvent des informations sensibles telles que vos informations de carte de crédit ou votre numéro de sécurité sociale, peut-être après avoir cliqué sur un lien menant à un site de phishing conçu pour ressembler à un site Web légitime..
Le champ "De" d'un courrier électronique est l'équivalent numérique de l'adresse de retour imprimée sur les enveloppes que vous recevez par la poste. Généralement, les gens mettent une adresse de retour exacte sur le courrier. Cependant, n'importe qui peut écrire ce qu'il veut dans le champ d'adresse de retour - le service postal ne vérifie pas qu'une lettre provient bien de l'adresse de retour imprimée..
Lorsque le protocole SMTP (protocole de transfert de courrier simple) a été conçu dans les années 1980 pour être utilisé par les universités et les organismes gouvernementaux, la vérification des expéditeurs n'était pas une préoccupation..
Comment enquêter sur les en-têtes d'un email
Vous pouvez voir plus de détails sur un email en fouillant dans les en-têtes de l'email. Ces informations sont situées à différents endroits dans différents clients de messagerie. Elles peuvent être appelées «source» ou «en-têtes» de l'e-mail.
(Bien sûr, c'est généralement une bonne idée de ne pas tenir compte des courriels suspects. Si vous n'êtes pas du tout sûr d'un courrier électronique, il s'agit probablement d'une arnaque.)
Dans Gmail, vous pouvez examiner ces informations en cliquant sur la flèche en haut à droite d'un e-mail et en sélectionnant Montrer l'original. Cela affiche le contenu brut de l'email.
Vous trouverez ci-dessous le contenu d'un courrier indésirable avec une adresse falsifiée. Nous allons expliquer comment décoder cette information.
Livré à: [MON ADRESSE E-MAIL]
Reçu: avant le 10.182.3.66 avec l'identifiant SMTP a2csp104490oba;
Sam., 11 août 2012 15:32:15 -0700 (PDT)
Received: par 10.14.212.72 avec l'identifiant SMTP x48mr8232338eeo.40.1344724334578;
Sam., 11 août 2012 15:32:14 - 0700 (PDT)
Chemin de retour:
Reçu: du 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
par mx.google.com avec l'identifiant ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Sam., 11 août 2012 15:32:14 - 0700 (PDT)
Received-SPF: neutral (google.com: 72.255.12.30 n'est ni autorisé ni refusé par l'enregistrement de meilleure estimation pour le domaine de [email protected]) client-ip = 72.255.12.30;
Résultats d'authentification: mx.google.com; spf = neutral (google.com: 72.255.12.30 n'est ni autorisé ni refusé par l'enregistrement de meilleure estimation pour le domaine de [email protected]) [email protected]
Reçu: par vwidxus.net id hnt67m0ce87b pour; Dim., 12 août 2012 10:01:06 -0500 (enveloppe-de)
Reçu: de vwidxus.net par web.vwidxus.net avec local (serveur de mail 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
pour [email protected]; Dim., 12 août 2012 10:01:06 -0500…
De: “Canadian Pharmacy” [email protected]
Il y a plus d'en-têtes, mais ce sont les plus importants - ils apparaissent en haut du texte brut de l'e-mail. Pour comprendre ces en-têtes, commencez par le bas - ces en-têtes retracent le cheminement de l'e-mail depuis son expéditeur vers vous. Chaque serveur recevant l'e-mail ajoute d'autres en-têtes en haut. Les en-têtes les plus anciens des serveurs sur lesquels l'email a commencé sont situés en bas..
L'en-tête «De» au bas de l'écran indique que l'e-mail provient d'une adresse @ yahoo.com - il s'agit simplement d'un élément d'information inclus dans l'e-mail; ça pourrait être n'importe quoi. Cependant, au-dessus de celui-ci, nous pouvons voir que l'e-mail a été reçu pour la première fois par «vwidxus.net» (ci-dessous) avant d'être reçu par les serveurs de messagerie de Google (ci-dessus). Ceci est un drapeau rouge - nous nous attendons à ce que l'en-tête «Reçu:» le plus bas de la liste figure sur la liste des serveurs de messagerie de Yahoo!.
Les adresses IP impliquées peuvent également vous indiquer que si vous recevez un courrier électronique suspect d'une banque américaine, mais que l'adresse IP reçue provient du Nigeria ou de la Russie, il s'agit probablement d'une adresse électronique falsifiée..
Dans ce cas, les spammeurs ont accès à l'adresse «[email protected]», où ils souhaitent recevoir les réponses à leurs spams, mais ils falsifient néanmoins le champ «De:». Pourquoi? Probablement parce qu'ils ne peuvent pas envoyer d'énormes quantités de spam via les serveurs de Yahoo!, Ils seraient remarqués et fermés. Au lieu de cela, ils envoient du spam à partir de leurs propres serveurs et falsifient son adresse.
