Cách kẻ lừa đảo giả mạo địa chỉ email và cách bạn có thể biết

Hãy coi đây là một thông báo dịch vụ công cộng: Những kẻ lừa đảo có thể giả mạo địa chỉ email. Chương trình email của bạn có thể cho biết một tin nhắn đến từ một địa chỉ email nhất định, nhưng nó có thể hoàn toàn từ một địa chỉ khác.

Các giao thức email không xác minh địa chỉ là hợp pháp – những kẻ lừa đảo, lừa đảo và các cá nhân độc hại khác khai thác điểm yếu này trong hệ thống. Bạn có thể kiểm tra tiêu đề của một email đáng ngờ để xem liệu địa chỉ của nó có bị giả mạo hay không.

Cách thức hoạt động của Email

Phần mềm email của bạn hiển thị email của ai trong trường “Từ”. Tuy nhiên, không có xác minh nào thực sự được thực hiện – phần mềm email của bạn không có cách nào để biết liệu email có thực sự là của ai mà nó cho biết là từ ai hay không. Mỗi email bao gồm một tiêu đề “Từ”, có thể được giả mạo – ví dụ: bất kỳ kẻ lừa đảo nào cũng có thể gửi cho bạn một email có vẻ là từ bill@microsoft.com. Ứng dụng email của bạn sẽ cho bạn biết đây là email của Bill Gates, nhưng nó không có cách nào để kiểm tra thực sự.

Email có địa chỉ giả mạo có thể đến từ ngân hàng của bạn hoặc một doanh nghiệp hợp pháp khác. Họ thường yêu cầu bạn cung cấp thông tin nhạy cảm như thông tin thẻ tín dụng hoặc số an sinh xã hội của bạn, có thể sau khi nhấp vào liên kết dẫn đến trang web lừa đảo được thiết kế để trông giống như một trang web hợp pháp.

Hãy coi trường “Từ” của email là trường kỹ thuật số tương đương với địa chỉ trả lại được in trên phong bì mà bạn nhận được trong thư. Nói chung, mọi người đặt một địa chỉ trả hàng chính xác trên thư. Tuy nhiên, bất kỳ ai cũng có thể viết bất cứ thứ gì họ thích vào trường địa chỉ trả hàng – dịch vụ bưu chính không xác minh rằng một bức thư thực sự đến từ địa chỉ trả hàng được in trên đó.

Khi SMTP (giao thức truyền thư đơn giản) được thiết kế vào những năm 1980 để các học viện và cơ quan chính phủ sử dụng, việc xác minh người gửi không phải là một mối quan tâm.

Cách điều tra tiêu đề của email

Bạn có thể xem thêm chi tiết về email bằng cách tìm hiểu tiêu đề của email. Thông tin này nằm ở các khu vực khác nhau trong các ứng dụng email khác nhau – nó có thể được gọi là “nguồn” hoặc “tiêu đề” của email.

(Tất nhiên, thông thường, bạn nên bỏ qua hoàn toàn các email đáng ngờ – nếu bạn hoàn toàn không chắc chắn về một email, đó có thể là một trò lừa đảo.)

Trong Gmail, bạn có thể kiểm tra thông tin này bằng cách nhấp vào mũi tên ở góc trên cùng bên phải của email và chọn Hiển thị nguyên bản. Điều này hiển thị nội dung thô của email.

Bên dưới, bạn sẽ tìm thấy nội dung của một email spam thực sự với một địa chỉ email giả mạo. Chúng tôi sẽ giải thích cách giải mã thông tin này.

Đã gửi đến: [MY EMAIL ADDRESS]

Đã nhận: bởi 10.182.3.66 với id SMTP a2csp104490oba;
Thứ bảy, ngày 11 tháng 8 năm 2012 15:32:15 -0700 (PDT)
Đã nhận: bởi 10.14.212.72 với id SMTP x48mr8232338eeo.40.1344724334578;
Thứ bảy, ngày 11 tháng 8 năm 2012 15:32:14 -0700 (PDT)
Đường dẫn trả lại:
Đã nhận: từ 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
bởi mx.google.com với id ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Thứ bảy, ngày 11 tháng 8 năm 2012 15:32:14 -0700 (PDT)
Đã nhận-SPF: trung lập (google.com: 72.255.12.30 không được phép cũng như bị từ chối bởi bản ghi phỏng đoán tốt nhất cho miền e.vwidxus@yahoo.com) client-ip = 72.255.12.30;
Xác thực-Kết quả: mx.google.com; spf = trung lập (google.com: 72.255.12.30 không được phép hay bị từ chối bởi bản ghi phỏng đoán tốt nhất cho miền e.vwidxus@yahoo.com) smtp.mail=e.vwidxus@yahoo.com
Đã nhận: bởi vwidxus.net id hnt67m0ce87b cho <[MY EMAIL ADDRESS]>; Chủ nhật, ngày 12 tháng 8 năm 2012 10:01:06 -0500 (phong bì-từ )
Đã nhận: từ vwidxus.net bởi web.vwidxus.net với cục bộ (Máy chủ gửi thư 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
cho root@vwidxus.net; CN, 12/08/2012 10:01:06 –0500

…

Từ: “Hiệu thuốc Canada” e.vwidxus@yahoo.com

Có nhiều tiêu đề hơn, nhưng đây là những tiêu đề quan trọng – chúng xuất hiện ở đầu văn bản thô của email. Để hiểu các tiêu đề này, hãy bắt đầu từ phía dưới – các tiêu đề này theo dõi lộ trình của email từ người gửi đến bạn. Mỗi máy chủ nhận email sẽ thêm nhiều tiêu đề hơn lên trên cùng – các tiêu đề cũ nhất từ ​​các máy chủ nơi email bắt đầu được đặt ở dưới cùng.

Tiêu đề “Từ” ở dưới cùng tuyên bố email đến từ địa chỉ @ yahoo.com – đây chỉ là một phần thông tin được bao gồm trong email; nó có thể là bất cứ điều gì ở tất cả. Tuy nhiên, ở trên, chúng ta có thể thấy rằng email được “vwidxus.net” (bên dưới) nhận lần đầu tiên trước khi được nhận bởi các máy chủ email của Google (bên trên). Đây là một lá cờ đỏ – chúng tôi mong đợi rằng tiêu đề “Đã nhận:” thấp nhất trong danh sách là một trong những máy chủ email của Yahoo !.

Các địa chỉ IP liên quan cũng có thể gợi ý cho bạn – nếu bạn nhận được một email đáng ngờ từ một ngân hàng Mỹ nhưng địa chỉ IP mà nó nhận được từ các giải quyết đến Nigeria hoặc Nga, đó có thể là một địa chỉ email giả mạo.

Trong trường hợp này, những kẻ gửi thư rác có quyền truy cập vào địa chỉ “e.vwidxus@yahoo.com”, nơi họ muốn nhận thư trả lời cho thư rác của họ, nhưng họ vẫn giả mạo trường “Từ:”. Tại sao? Có thể là vì họ không thể gửi một lượng lớn thư rác qua máy chủ của Yahoo! – họ sẽ bị chú ý và bị đóng cửa. Thay vào đó, họ đang gửi thư rác từ máy chủ của chính họ và giả mạo địa chỉ của nó.