Hoe oplichters e-mailadressen vervalsen en hoe u dat kunt zien

Beschouw dit als een aankondiging van een openbare dienst: oplichters kunnen e-mailadressen vervalsen. Uw e-mailprogramma kan zeggen dat een bericht afkomstig is van een bepaald e-mailadres, maar het kan ook helemaal van een ander adres zijn.

E-mailprotocollen verifiëren niet dat adressen legitiem zijn – oplichters, phishers en andere kwaadwillende personen maken misbruik van deze zwakte in het systeem. U kunt de kopteksten van een verdachte e-mail bekijken om te zien of het adres is vervalst.

Hoe e-mail werkt

Uw e-mailsoftware geeft aan van wie een e-mail afkomstig is in het veld “Van”. Er wordt echter geen verificatie uitgevoerd – uw e-mailsoftware kan niet weten of een e-mail daadwerkelijk afkomstig is van wie hij zegt dat deze afkomstig is. Elke e-mail bevat een “Van” -header, die kan worden vervalst. Elke oplichter kan u bijvoorbeeld een e-mail sturen die afkomstig lijkt te zijn van bill@microsoft.com. Je e-mailclient zou je vertellen dat dit een e-mail is van Bill Gates, maar het kan niet echt worden gecontroleerd.

E-mails met vervalste adressen kunnen afkomstig lijken te zijn van uw bank of een ander legitiem bedrijf. Ze zullen u vaak om gevoelige informatie vragen, zoals uw creditcardgegevens of burgerservicenummer, misschien nadat ze op een link hebben geklikt die naar een phishing-site leidt die eruitziet als een legitieme website.

Beschouw het “Van” -veld van een e-mail als het digitale equivalent van het retouradres dat is afgedrukt op enveloppen die u per post ontvangt. Over het algemeen zetten mensen een correct retouradres op hun post. Iedereen kan echter alles schrijven wat hij wil in het retouradresveld – de postdienst controleert niet of een brief daadwerkelijk afkomstig is van het retouradres dat erop is afgedrukt.

Toen SMTP (simple mail transfer protocol) in de jaren tachtig werd ontworpen voor gebruik door de academische wereld en overheidsinstanties, was verificatie van afzenders geen probleem.

Hoe u de kopteksten van een e-mail kunt onderzoeken

U kunt meer details over een e-mail bekijken door in de kopteksten van de e-mail te graven. Deze informatie bevindt zich in verschillende gebieden in verschillende e-mailclients – het staat mogelijk bekend als de ‘bron’ of ‘kopteksten’ van de e-mail.

(Het is natuurlijk over het algemeen een goed idee om verdachte e-mails volledig te negeren – als u überhaupt twijfelt over een e-mail, is het waarschijnlijk een oplichterij.)

In Gmail kunt u deze informatie bekijken door op de pijl in de rechterbovenhoek van een e-mail te klikken en te selecteren Toon origineel. Dit toont de onbewerkte inhoud van de e-mail.

Hieronder vindt u de inhoud van een daadwerkelijke spam-e-mail met een vervalst e-mailadres. We leggen uit hoe u deze informatie kunt decoderen.

Bezorgd bij: [MY EMAIL ADDRESS]

Ontvangen: door 10.182.3.66 met SMTP-id a2csp104490oba;
Za 11 aug. 2012 15:32:15 -0700 (PDT)
Ontvangen: door 10.14.212.72 met SMTP-id x48mr8232338eeo.40.1344724334578;
Zat 11 aug. 2012 15:32:14 -0700 (PDT)
Retourpad:
Ontvangen: van 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
door mx.google.com met ESMTP-ID c41si1698069eem.38.2012.08.11.15.32.13;
Zat 11 aug. 2012 15:32:14 -0700 (PDT)
Ontvangen-SPF: neutraal (google.com: 72.255.12.30 is noch toegestaan, noch geweigerd door de beste gokrecord voor domein van e.vwidxus@yahoo.com) client-ip = 72.255.12.30;
Authenticatie-resultaten: mx.google.com; spf = neutraal (google.com: 72.255.12.30 is niet toegestaan ​​noch geweigerd door de record voor beste gok voor het domein van e.vwidxus@yahoo.com) smtp.mail=e.vwidxus@yahoo.com
Ontvangen: door vwidxus.net id hnt67m0ce87b voor <[MY EMAIL ADDRESS]>; Zo 12 aug. 2012 10:01:06 -0500 (envelop-van )
Ontvangen: van vwidxus.net door web.vwidxus.net met lokaal (mailserver 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
voor root@vwidxus.net; Zo 12 aug. 2012 10:01:06 –0500

…

Van: “Canadian Pharmacy” e.vwidxus@yahoo.com

Er zijn meer kopteksten, maar dit zijn de belangrijkste: ze verschijnen bovenaan de onbewerkte tekst van de e-mail. Om deze kopteksten te begrijpen, begint u onderaan – deze kopteksten volgen de route van de e-mail van de afzender naar u. Elke server die de e-mail ontvangt, voegt bovenaan meer headers toe – de oudste headers van de servers waar de e-mail begon, bevinden zich onderaan.

De “Van” -kop onderaan beweert dat de e-mail afkomstig is van een @ yahoo.com-adres – dit is slechts een stukje informatie dat bij de e-mail wordt geleverd; het kan van alles zijn. Hierboven kunnen we echter zien dat de e-mail eerst werd ontvangen door “vwidxus.net” (hieronder) voordat deze werd ontvangen door de e-mailservers van Google (hierboven). Dit is een rode vlag – we verwachten dat de laagste “Ontvangen:” – koptekst op de lijst wordt weergegeven als een van de e-mailservers van Yahoo!

De betrokken IP-adressen kunnen u ook aanwijzen – als u een verdachte e-mail ontvangt van een Amerikaanse bank, maar het IP-adres dat het heeft ontvangen van resolves naar Nigeria of Rusland, is dat waarschijnlijk een vervalst e-mailadres.

In dit geval hebben de spammers toegang tot het adres “e.vwidxus@yahoo.com”, waar ze antwoorden op hun spam willen ontvangen, maar ze vervalsen toch het veld “Van:”. Waarom? Waarschijnlijk omdat ze geen enorme hoeveelheden spam kunnen verzenden via de servers van Yahoo! – zouden ze worden opgemerkt en worden uitgeschakeld. In plaats daarvan sturen ze spam vanaf hun eigen servers en vervalsen het adres.