web-dev-qa-db-ja.com

このFacebookメールは本物ですか、それともフィッシングですか?

今日はFacebookと思われるサイトからこのメールを受け取りました。これがスクリーンショットです: email

Facebookにクレジットがある、またはクレジットが存在することは知らなかった。どうやら$ 2.30相当の価値がある。一見すると正当なように見えますが、メールアドレスは私が受け取る他のすべてのFacebookメールと同じように見えますが、これが偽のフィッシングであると信じる理由がいくつかあります。

  1. ちなみに、クリックしていないページのリンクはすべて、左下隅にカーソルを合わせてプレビューすると、実際のURLではなく、単なるディレクトリだと思います。 Facebookヘッダーリンクはsetting?tab=paymentsを指します。バランスリンクのレビューも同じです。アプリセンターのリンクはappcenterです。おそらく、フィッシングの試みが失敗したか、メールチームが失敗したのではなく、Facebookが行うことではありません。

  2. ヘッダーの電子メールスタイルと背景は、Facebookから受け取る正当な電子メールのようには見えません。意味を確認するには、数日前に受け取ったこのメールをご覧ください。 two

ご覧のとおり、最初のメールのグラデーションバーとは異なり、上部の青いバーは実線の青いバーです。背景は最初のように灰色ではなく白です。そして、それは最初のもののような全幅ではありません。スタイルは似ていますが、最初のスタイルは2日前に取得したものよりも少し古く見えます。

このメールは正当なものですか、それともフィッシングの試みに失敗したものですか?

編集:ここにソースコードがあります:

Delivered-To: [email protected]
Received: by 10.64.208.67 with SMTP id mc3csp215958iec;
        Mon, 28 Jul 2014 11:18:02 -0700 (PDT)
X-Received: by 10.68.191.194 with SMTP id ha2mr5567506pbc.143.1406571481784;
        Mon, 28 Jul 2014 11:18:01 -0700 (PDT)
Return-Path: <[email protected]>
Received: from mx-out.facebook.com (outmail021.prn2.facebook.com. [66.220.144.148])
        by mx.google.com with ESMTPS id bg5si3360342pdb.468.2014.07.28.11.18.01
        for <[email protected]>
        (version=TLSv1 cipher=ECDHE-RSA-RC4-SHA bits=128/128);
        Mon, 28 Jul 2014 11:18:01 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 66.220.144.148 as permitted sender) client-ip=66.220.144.148;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 66.220.144.148 as permitted sender) [email protected];
       dkim=pass [email protected];
       dmarc=pass (p=REJECT dis=NONE) header.from=facebookmail.com
Received: from facebook.com (f2hk/PLxoaEIT/fBlhT+zd5nnjzhUaEeZHCH61uLXXqwZpYsw2Ru1XBNzDHLgndM 10.103.99.61)
 by facebook.com with Thrift id 8297627c168311e4a87a0002c992c8ec-5c5fb400;
 Mon, 28 Jul 2014 11:18:01 -0700
X-Facebook: from 10.83.48.31 ([MTI3LjAuMC4x]) 
    by async.facebook.com with HTTP (ZuckMail);
Date: Mon, 28 Jul 2014 11:18:01 -0700
Return-Path: [email protected]
To: Milo Gosnell <[email protected]>
From: "Facebook" <[email protected]>
Reply-to: noreply <[email protected]>
Subject: You have $2.30 in your Facebook account
Message-ID: <[email protected]>
X-Priority: 3
X-Mailer: ZuckMail [version 1.00]
Errors-To: [email protected]
X-Facebook-Notify: payment_credits_to_lc_balance; mailid=a409107G5af3188d358eG0G28eG21014dad
X-FACEBOOK-PRIORITY: 0
X-Auto-Response-Suppress: All
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="b1_e97806d65a32ea0f70f0cadf5f5df3e6"
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=facebookmail.com;
    s=s1024-2013-q3; t=1406571481;
    bh=be0apt2xjA3K0VqNAhrb4AJp1qqCmG/w36+vycpp3b0=;
    h=Date:To:From:Subject:MIME-Version:Content-Type;
    b=gvByiMKxQpl/GjtzE2LzNHOd+5W8bsyhfNbUTzr8H6s3HbLYShCJnW1nSWtJCzdpd
     srNFP6R7b7QkCsANFCq0wTLxHqnA0JsEyq6ys9ZviAX3SAAUxm8Gve1+KCpHWPYifX
     Eqa2Jjzo13vN73niZb3KQGxwMFKZOWbM+GTxhV5w=


--b1_e97806d65a32ea0f70f0cadf5f5df3e6
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable


Hi Milo,

Facebook has changed from credits to local currency. You have $2.30 in =
your account. You can review your balance or use this money on apps or =
games in the App Center.

Thanks,

The Facebook Payments Team



=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=
=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D=3D
This message was sent to [email protected]. If you don't want to receive =
these emails from Facebook in the future, please follow the link below to =
unsubscribe.
https://www.facebook.com/o.php?k=3DAS3FhR4P3qzdS6JW&u=3D100000135460238&mi=
d=3Da409107G5af3188d358eG0G28eG21014dad
Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA =
94303


--b1_e97806d65a32ea0f70f0cadf5f5df3e6
Content-Type: text/html; charset="UTF-8"
Content-Transfer-Encoding: quoted-printable

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional =
//EN"><html><head><title>Facebook</title><meta http-equiv=3D"Content-Type" =
content=3D"text/html; charset=3Dutf-8" =
/><style>body{background:#e0e1e5;font-family:'Helvetica =
Neue',Helvetica,'Lucida Grande',tahoma,verdana,arial,sans-serif;font-weigh=
t:300}a{color:#333;text-decoration:none;white-space:nowrap =
!important}#email_table{width:100% !important}#email_content{padding:0 =
!important}#profile_pic =
img{border:0}*[class].usercard{background:#fff}@media all and =
(max-device-width: 720px){a{white-space:pre-wrap =
!important}table[bgcolor=3D"#e9eaed"]{background:transparent =
!important}*[id]#body_container{border-bottom:1px solid #e5e5e5 =
!important}table[width=3D"610"],*[id]#body_container,*[id]#cta_container{t=
able-layout:fixed}*[id]#cta_outer{border:none !important}*[id]#header_prof=
ile>table>tbody>tr>td:not(:nth-child(4)){display:none =
!important}*[id]#profile_name{display:none}*[id]#profile_pic{-moz-border-r=
adius:3px !important;-webkit-border-radius:3px =
!important;border-radius:3px !important;border-width:0 =
!important;overflow:hidden}*[id]#header_title{width:auto =
!important}*[id]#header_profile{width:24px}*[class].bio{display:none =
!important}*[id]#main_content{width:100%}*[class].content>div =
a{display:block;overflow:hidden;text-overflow:Ellipsis;white-space:nowrap =
!important;width:160px}*[class].ext{padding-right:20px}*[class].image =
a{display:block;margin-left:20px}*[class].cta_btn,*[class].scnd_btn{displa=
y:block}*[id]#email_cta>tbody>tr>td[width=3D"100%"]{display:none}}@media =
all and (device-width: 720px){table[width=3D"610"],*[id]#body_container,*[=
id]#footer_container{width:340px}*[id]#email_filler td{height:12px =
!important}*[class].usercard{width:300px !important}}@media all and =
(max-device-width: =
480px){*[id]#cta_container>table>tbody>tr>td[height=3D"15"]{display:none =
!important}}@media all and (device-width: 320px){table[width=3D"610"],*[id=
]#body_container,*[id]#cta_container{min-width:400px;width:auto}center{pad=
Ding:0 10px}*[class].content>div a{width:182px}}</style></head><body =
style=3D"margin:0;padding:0;" dir=3D"ltr"><table cellspacing=3D"0" =
cellpadding=3D"0" id=3D"email_table" =
style=3D"border-collapse:collapse;width:98%;" border=3D"0"><tr><td =
id=3D"email_content" style=3D"font-family:&#039;lucida =
grande&#039;,tahoma,verdana,arial,sans-serif;font-size:12px;padding:0px;ba=
ckground:#e0e1e5;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" border=3D"0" =
style=3D"border-collapse:collapse;width:100%;"><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding:0;border-left:none;border-right:none;border-top:none;border=
-bottom:none;"><table cellspacing=3D"0" cellpadding=3D"0" width=3D"100%" =
style=3D"border-collapse:collapse;"><tr><td =
style=3D"padding:0;width:100%;"><span style=3D"color:#FFFFFF;display:none =
!important;font-size:1px;">Hi Milo, Facebook has changed from credits to =
local currency. You have $2.30 in your account. You can review your =
balance or use this money on apps or games in the App Center . Thanks, The =
Facebook Payments Team</span></td></tr><tr><td =
style=3D"padding:0;width:100%;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" bgcolor=3D"#435E9C" style=3D"border-collapse:collapse;width=
:100%;background:#435E9C;background-image:-webkit-linear-gradient(top, =
#5c77b5, #435e9c);border-color:#0A1F4F;border-style:solid;border-width:0px =
0px 1px 0px;box-shadow:0 1px 1px rgba(0, 0, 0, 0.25);height:47px;" =
id=3D"header"><tr><td style=3D""><center><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"610" height=3D"44" =
style=3D"border-collapse:collapse;"><tr><td align=3D"left" =
id=3D"header_title" style=3D"width:100%;line-height:47px;"><table =
cellspacing=3D"0" cellpadding=3D"0" =
style=3D"border-collapse:collapse;"><td style=3D""><a =
href=3D"/settings?tab=3Dpayments" style=3D"color:#FFFFFF;text-decoration:n=
one;font-weight:bold;font-family:lucida grande,tahoma,verdana,arial,sans-s=
erif;vertical-align:baseline;font-size:20px;letter-spacing:-0.03em;text-al=
ign:left;text-shadow:0 1px 0 rgba(0, 0, 0, 0.24);"> facebook </a></td><td =
width=3D"10" style=3D"width:10px;"></td><td style=3D""><font =
color=3D"white" size=3D"3"><a =
style=3D"color:#ffffff;text-decoration:none;font-family:Helvetica =
Neue,Helvetica,Lucida Grande,tahoma,verdana,arial,sans-serif;font-size:16p=
x;font-weight:bold;text-shadow:0 -1px rgba(34, 59, 115, =
0.85);vertical-align:middle;" href=3D"/settings?tab=3Dpayments"></a></font=
></td></table></td></tr></table></center></td></tr></table></td></tr><tr><=
td style=3D"padding:0;width:100%;"><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"100%" bgcolor=3D"#e0e1e5" id=3D"table_color" =
style=3D"border-collapse:collapse;"><td style=3D""><table =
cellspacing=3D"0" cellpadding=3D"0" width=3D"100%" id=3D"email_filler" =
style=3D"border-collapse:collapse;"><td height=3D"19" =
style=3D"">&nbsp;</td></table><center><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"610" =
style=3D"border-collapse:collapse;"><tr><td align=3D"left" =
id=3D"body_container" style=3D"background-color:#ffffff;border-color:#c1c2=
c4;border-style:solid;display:block;border-width:1px;border-radius:5px;-we=
bkit-border-radius:5px;-moz-border-radius:5px;box-shadow:0 1px 1px rgba(0, =
0, 0, 0.10);overflow:hidden;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" style=3D"border-collapse:collapse;"><td =
style=3D"padding:15px;"><table cellspacing=3D"0" cellpadding=3D"0" =
style=3D"border-collapse:collapse;width:100%;"><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding-bottom:10px;">Hi Milo,</td></tr><tr><td =
style=3D"font-size:11px;font-family:LucidaGrande,tahoma,verdana,arial,sans=
-serif;padding-top:10px;padding-bottom:10px;">Facebook has changed from =
credits to local currency. You have $2.30 in your account. You can <a =
href=3D"/settings?tab=3Dpayments" =
style=3D"color:#3b5998;text-decoration:none;">review your balance</a> or =
use this money on apps or games in the <a href=3D"/appcenter" =
style=3D"color:#3b5998;text-decoration:none;">App =
Center</a>.</td></tr><tr><td style=3D"font-size:11px;font-family:LucidaGra=
nde,tahoma,verdana,arial,sans-serif;padding-top:10px;">Thanks,<br />The =
Facebook Payments Team</td></tr></table></td></table></td></tr></table></c=
enter></td></table></td></tr><tr><td =
style=3D"padding:0;width:100%;"><table cellspacing=3D"0" cellpadding=3D"0" =
width=3D"100%" style=3D"border-collapse:collapse;" =
id=3D"footer_table"><tr><td style=3D""><center><table cellspacing=3D"0" =
cellpadding=3D"0" width=3D"610" =
style=3D"border-collapse:collapse;"><tr><td style=3D""><table =
cellspacing=3D"0" cellpadding=3D"0" width=3D"610" border=3D"0" =
id=3D"footer" style=3D"border-collapse:collapse;"><tr><td =
style=3D"font-size:12px;font-family:Helvetica Neue,Helvetica,Lucida =
Grande,tahoma,verdana,arial,sans-serif;padding:18px 0;border-left:none;bor=
der-right:none;border-top:none;border-bottom:none;color:#6a7180;font-weigh=
t:300;line-height:16px;text-align:center;border:none;">This message was =
sent to <a href=3D"mailto:myEmail&#064;gmail.com" =
style=3D"color:#6a7180;text-decoration:none;font-family:Helvetica =
Neue,Helvetica,Lucida Grande,tahoma,verdana,arial,sans-serif;font-weight:b=
old;">myEmail&#064;gmail.com</a>. If you don&#039;t want to receive these =
emails from Facebook in the future, please <a href=3D"https://www.facebook=
.com/o.php?k=3DAS3FhR4P3qzdS6JW&amp;u=3D100000135460238&amp;mid=3Da409107G=
5af3188d358eG0G28eG21014dad" =
style=3D"color:#6a7180;text-decoration:none;font-family:Helvetica =
Neue,Helvetica,Lucida =
Grande,tahoma,verdana,arial,sans-serif;font-weight:bold;">unsubscribe</a>. =
Facebook, Inc., Attention: Department 415, PO Box 10005, Palo Alto, CA =
94303</td></tr></table></td></tr></table></center></td></tr></table></td><=
/tr></table></td></tr></table><span style=3D"width:100%;"><img =
src=3D"https://www.facebook.com/email_open_log_pic.php?mid=3Da409107G5af31=
88d358eG0G28eG21014dad" style=3D"border:0;width:1px;height:1px;" =
/></span></td></tr></table></body></html>



--b1_e97806d65a32ea0f70f0cadf5f5df3e6--
6
Milo

私はそれをFacebookを過ぎて「台無しに」するつもりはありません。


ヘッダーから、GoogleのサーバーはリクエストがIPアドレス66.220.144.148から送信されたものと見なしているように見えます。これは実際にfacebookmail.comドメインの一部です。 Googleサーバーは、DNSにあるTXTレコードとしての公開鍵と比較して、電子メールの [〜#〜] dkim [〜#〜] 署名を検証しましたs1024-2013-q3._domainkey.facebookmail.comの場合:これは1024ビットのRSAキーであり、現在のところ署名は一致しています。重要な数を投資しない限り、1024ビットのRSAは技術的に実現可能です(現在の最新の記録は768ビットです)。専用マシンの構築に数百万ドルを費やしましたが、そのような投資がFacebookアカウントへのハッキングのために行われることはありそうもありません。

したがって、facebookmail.comドメインに関連付けられたマシンから電子メールが実際に送信されたのはもっともらしいことです。このドメインは本当にFacebookに属しており、ユーザーに通知を送信するために実際に使用していることが文書化されています。たとえば、 この記事 は次のように述べています。

紛らわしいことに、Facebookの通知はfacebookmail.comドメインから送信され、疑わしい送信者の名前が含まれています。長くて複雑なURLも疑わしいように見えるかもしれませんが、この通知はFacebookからの合法的な通知です。

私は「混乱する」ことに完全に同意します。

メールがFacebookから送信されたからといって、それが正当なものであるとは限りません。それは、電子メールが偽物である場合、攻撃者がFacebookの内部ネットワーク内のマシンを侵害し、そのマシンから電子メールを送信したことを意味します。

お気づきのように、メールは奇妙です。通常のFacebook通知のようには見えません。さらに、メール内のクリック可能なリンクは壊れています(プロトコルまたはサーバー部分がない相対リンクであるため、クリックしてもどこにも送信されません-Webメールからメールを読んだ場合、mightそのページのWebメールサーバー、ここではGmail.com ...)に送信します。

私の全体的な評価では、電子メールは攻撃ではなく、 Facebook Game Payments に関連する何かのプロトタイプ通知をテストしていて、システムを誤ってトリガーしたFacebookの人々からの技術的な失敗です。アカウント(この場合は自分のもの)。


とにかく、すべての電子メールについては、通常のルールを維持する必要があります:DO。ない。クリック

電子メールが合法である場合は、関連するサイトにログインして、自分の目で確かめてください。メール自体からクリック可能なリンクをたどる必要はありません。メールのリンクをクリックしないという単純なルールにより、フィッシング攻撃から安全に保護されます。

7
Tom Leek