web-dev-qa-db-ja.com

偽のメールを検出して防止する方法

この質問がこの質問と同じではないことを願っています: 電子メールは、大きな組織から来たように見せることができますか?

ブランドや大規模な組織(Google、Yahooなど)を保護する方法を尋ねているのではなく、通常のユーザーが自分を保護する方法を尋ねています。

私の知る限り、電子メールのアドレス帳を取得できるワームや、ユーザーがパケットを作成できるようにするプログラミングライブラリがあります。

両方を使用することで(アドレスを盗み、電子メールパケットを作成して適切なサーバーに送信する)、悪意のあるハッカーは被害者に彼の友人の1人から送信されたように見える電子メールを送信できるはずです(たとえば、お金を要求します)。 )。

それで、典型的な方法(ハッカーがそう主張したものを呼び出す)の横に、そのような偽のメッセージを検出する技術的な方法はありますか?

attack-preventionphishingspoofing
3
HSN

説明は正確ではありませんが、結果は同じです:受信者をだますのに十分に信頼できるメールメッセージを送信できます。これが発生する一般的な方法は、攻撃者が実際に 送信者の電子メールサービスにアクセスする であることに注意してください。したがって、偽の電子メールは、作成者を除いて、あらゆる面で実際の電子メールと同じになります。それ。

そのようなメッセージを検出する信頼できる方法はないと確信しています。メールの頻度、言語の使用、その他の変数を考慮に入れて、一連の測定を適用することは確かに可能ですが、広く使用するのに十分なほど良いことは知りません。また、誰かがそのようなシステムを作成した場合、彼らはすでにそれをリリースし、数億ドルの収益を享受しているでしょう。

最も信頼できるオプションは、疑わしいメッセージまたは異常なメッセージが受信された場合に、受信者が別のチャネルを介して送信者に質問することです。

例1:友人[email protected]からお金を要求するメールを受け取りました。疑わしい、私は彼女にテキストを送る、そして彼女は電子メールが本物であると答える。

例2:[email protected]から、追加費用が発生したパッケージを配達するためのクレジットカードの詳細を要求するメールを受け取りました。最寄りのFedExオフィスの電話番号を調べて尋ねると、私の住所への配達用の荷物がないと返信されました。

5
scuzzy-delta

たとえば、yourfriend @ gmail.comからメッセージを受信した場合。攻撃者がそのアドレスを偽装する方法がいくつかあり、受信トレイでは、メッセージが[email protected]から送信されたように見えます。ここで、少なくとも2つの可能性があります。

1.攻撃者が悪意のあるサービスを使用して、yourfriend @ gmail.comからのメールのように見せかけた

2.攻撃者が友達のアカウントへのアクセス権を取得し、メールを送信した。

最初のケースでは、smtpヘッダー(Gmailでオリジナルを表示)を取得して http://whatismyipaddress.com/のようなものを使用することにより、メールが実際にGoogleサーバーから送信されたものかどうかを確認できます。 trace-email 。そこにメールヘッダーを貼り付けて、メールが実際にGoogleサーバーから送信されたものか、アドレスのなりすましを許可する悪意のあるサーバーから送信されたものかを確認できます。本物に見える。

4
aRun

私はこれを私の回答 here で説明しました。

基本的には、ヘッダーを確認します(メールプロバイダーには「オリジナルを表示」というオプションがあるはずです。GMailの場合は、返信矢印の下に「オリジナルのメッセージを表示」します)特に、タイプReceived: from abc.com (IP address) by def.com (IP)の_Received:_ヘッダー。これらのヘッダーは、byサーバーからメールを取得するときに、fromサーバーによって書き込まれます。

Gmailを使用するとします1。一番下の_Received:_ヘッダーの形式はfrom something.google.com (IP) by somethingelse.google.com (IP)です。これらは正しくなります。確実にしたい場合は、IPで逆DNSルックアップを実行し、IPが指定されたドメインと一致することを確認してください。

よし。さて、ある時点で、ヘッダーリストを上っていくと、from abc.com (IP) by something.google.comという形式のヘッダーが見つかります。このヘッダーも信頼できます。次に、このヘッダーのfromがその上のヘッダーのbyと一致するかどうかを確認します(逆DNSも確認します)。また、このヘッダーのfromでサーバーを本当に信頼しているかどうかを確認してください。サーバーが_nigerianprince.x123.cscabgvj.ng_(基本的に第2レベルのドメイン名は信頼されていない)のようなものである場合、それはおそらく信頼できないものであり、その上のヘッダーの残りの部分はサーバーによって偽装されている可能性があります。そうでない場合は、1つ上のヘッダーに移動し、最後のヘッダーに到達するまで繰り返します。信頼の問題なしに最後のメールに到達できた場合、メールは要求された場所から送信されます。

1ほとんどの主要な電子メールプロバイダーでは、GMailは電子メールが偽装されているかどうかを判断でき、電子メールがそうしたと主張した場所から送信されていない場合は、「From [email protected] via Apple.com」または何かを表示します。 。これはメーリングリストでの正当な使用法であることに注意してください。したがって、viaを含むすべての電子メールを自動的に信用しないでください。 (「経由」ドメインを信用しない場合は信用しないでください)

2
Manishearth