Phenquestions
Architektura poczty e-mail :
Gdy użytkownik wysyła wiadomość e-mail, nie trafia ona bezpośrednio na serwer pocztowy po stronie odbiorcy; raczej przechodzi przez różne serwery pocztowe.
MUA to program po stronie klienta, który służy do czytania i tworzenia wiadomości e-mail. Istnieją różne MUA, takie jak Gmail, Outlook itp. Za każdym razem, gdy MUA wysyła wiadomość, trafia do MTA, która dekoduje wiadomość i identyfikuje lokalizację, którą ma zostać wysłana, czytając informacje nagłówka i modyfikuje nagłówek, dodając dane, a następnie przekazuje ją do MTA po stronie odbiorczej. Ostatnie MTA obecne tuż przed dekodowaniem wiadomości przez MUA i wysłaniem jej do MUA na końcu odbiorczym. Dlatego w nagłówku e-maila możemy znaleźć informacje o wielu serwerach.
Analiza nagłówka wiadomości e-mail:
Kryminalistyka poczty e-mail zaczyna się od badania poczty e-mail nagłówek ponieważ zawiera ogromną ilość informacji o wiadomości e-mail. Analiza ta obejmuje zarówno badanie treści, jak i nagłówka wiadomości e-mail zawierającej informacje o danym e-mailu. Analiza nagłówków wiadomości e-mail pomaga w identyfikacji większości przestępstw związanych z wiadomościami e-mail, takich jak spear phishing, spamowanie, fałszowanie wiadomości e-mail itp. Podszywanie się to technika, dzięki której można udawać kogoś innego, a zwykły użytkownik przez chwilę pomyślałby, że to jego przyjaciel lub ktoś, kogo już zna. Po prostu ktoś wysyła e-maile z sfałszowanego adresu e-mail znajomego i nie oznacza to, że jego konto zostało zhakowane.
Analizując nagłówki wiadomości e-mail, można dowiedzieć się, czy otrzymany e-mail pochodzi z fałszywego adresu e-mail, czy z prawdziwego. Oto jak wygląda nagłówek wiadomości e-mail:
Dostarczono do: [email chroniony]Otrzymano: do 2002:a0c:f2c8:0:0:0:0:0 z identyfikatorem SMTP c8csp401046qvm;
śro, 29 lip 2020 05:51:21 -0700 (PDT)
Odebrane X: do 2002: a92: 5e1d:: z identyfikatorem SMTP s29mr19048560ilb.245.1596027080539;
śro, 29 lip 2020 05:51:20 -0700 (PDT)
Uszczelnienie ARC: i=1; a=rsa-sha256; t=1596027080; cv=brak;
d=google.pl; s=arc-20160816;
b=Um/is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i/vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR/HBQoZf6LOqlnTXJskXc58F+ik
4nuVw0zsWxWbnVI2mhHzra//g4L0p2/eAxXuQyJPdso/ObwQHJr6G0wUZ+CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL/sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT+DQY+ukoXRFQIWDNEfkB5l18GcSKurxn5/K8cPI/KdJNxCKVhTALdFW
Lub2Q==
ARC-Message-Signature: i=1; a=rsa-sha256; c = zrelaksowany/zrelaksowany; d=google.pl; s=arc-20160816;
h=to:temat:id-wiadomości:data:od:wersja-mime:dkim-signature;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=xs6WIoK/swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V+CMAi
DbkrMBVVxQTdw7+QWU0CMUimS1+8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO/+I
wbM+t6yT5kPC7iwg6k2IqPMb2+BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP//SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc/rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1 axg==
Wyniki uwierzytelniania ARC: i=1; mx.Google.pl;
dkim=pass [chroniony e-mail] nagłówek.s=20161025 nagłówek.b=JygmyFja;
spf=pass (google.com: domena [email protected] oznacza 209.85.22000 jako
dozwolony nadawca) [email chroniony];
dmarc=pass (p=BRAK sp=KWARANTANNA dis=BRAK) nagłówek.z=gmail.com
Ścieżka powrotna: <[email protected]>
Otrzymano: od mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])
przez mx.Google.com z identyfikatorem SMTPS n84sor2004452iod.19.2020.07.29.00.00.00
dla <[email protected]>
(Bezpieczeństwo transportu Google);
śro, 29 lip 2020 05:51:20 -0700 (PDT)
Odebrane SPF: pass (google.com: domena [email protected] oznacza 209.85.000.00
jako dozwolony nadawca) client-ip=209.85.000.00;
Uwierzytelnianie-Wyniki: mx.Google.pl;
dkim=pass [chroniony e-mail] nagłówek.s=20161025 nagłówek.b=JygmyFja;
spf=pass (google.com: domena [email protected] desygnuje
209.85.000.00 jako dozwolony nadawca) [email chroniony];
dmarc=pass (p=BRAK sp=KWARANTANNA dis=BRAK) nagłówek.z=gmail.com
Podpis DKIM: v=1; a=rsa-sha256; c = zrelaksowany/zrelaksowany;
d=gmail.pl; s=20161025;
h=mime-wersja:od:data:wiadomość-id:temat:do;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z/Oq0FdD3l+RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq+SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb+wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK+j+qgAMuGh7EScau+u6yjEAyZwoW/2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ==
X-Google-DKIM-Podpis: v=1; a=rsa-sha256; c = zrelaksowany/zrelaksowany;
d=1e100.netto; s=20161025;
h=x-gm-message-state:mime-version:from:date:message-id:subject:to;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=Rqvb//v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARM1K7goMQP4t2VnTdOqeOqmvI+wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g/v3XucAS/tgCzLTxUK8EpI0GdIqJj9lNZfCOEm+Bw/vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia+vEclI5vWdSarvPuwEq8objLX9ebN/aP0Ltq
FFIQ==
Stan wiadomości X-Gm: AOAM532qePHWPL9up8ne/4rUXfRYiFKwq94KpVN551D9vW38aW/6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig==
X-Google-Smtp-Źródło: ABdhPJxI6san7zOU5oSQin3E63trZoPuLaai+UwJI00yVSjv05o/
N+ggdCRV4JKyZ+8/abtKcqVASW6sKDxG4l3SnGQ=
Odebrane X: do 2002:a05:0000:0b::z identyfikatorem SMTP v11mr21571925jao.122.1596027079698;
śro, 29 lip 2020 05:51:19 -0700 (PDT)
Wersja MIME: 1.0
Od: Marcus Stoinis <[email protected]>
Data: Śr, 29 Lip 2020 17:51:03 +0500
ID wiadomości: <[email protected]om>
Przedmiot:
Do: [email chroniony]
Content-Type: wieloczęściowy/alternatywny; granica="00000000000023294e05ab94032b"
--0000000000023294e05ab94032b
Content-Type: tekst/zwykły; charset="UTF-8"
Aby zrozumieć informacje zawarte w nagłówku, należy zrozumieć uporządkowany zestaw pól w tabeli.
X-podobno do: To pole jest przydatne, gdy wiadomość e-mail jest wysyłana do więcej niż jednego odbiorcy, takiego jak UDW lub lista dyskusyjna. To pole zawiera adres do DO pole, ale w przypadku UDW, X-Podobno do pole jest inne. Tak więc to pole zawiera adres odbiorcy, mimo że wiadomość e-mail jest wysyłana jako DW, UDW lub przez jakąś listę mailingową.
Ścieżka powrotna: Pole Ścieżka zwrotna zawiera adres e-mail podany przez nadawcę w polu Od.
Otrzymany SPF: To pole zawiera domenę, z której pochodzi poczta. W tym przypadku jego
Odebrane SPF: pass (google.com: domena [email protected] oznacza 209.85.000.00 jako dozwolony nadawca) client-ip=209.85.000.00;
Współczynnik spamu X: Na serwerze odbierającym lub MUA znajduje się oprogramowanie do filtrowania spamu, które oblicza wynik spamu. Jeśli wynik spamu przekroczy określony limit, wiadomość zostanie automatycznie wysłana do folderu spamu. Kilka MUA używa różnych nazw pól dla wyników spamu, takich jak Współczynnik spamu X, status spamu X, flaga spamu X, poziom spamu X itp.
Odebrane: To pole zawiera adres IP ostatniego serwera MTA na końcu wysyłania, który następnie wysyła wiadomość e-mail do MTA na końcu odbiorcy. W niektórych miejscach można to zobaczyć pod X pochodzi z X pole.
Nagłówek sita X: To pole określa nazwę i wersję systemu filtrowania wiadomości. Odnosi się to do języka używanego do określania warunków filtrowania wiadomości e-mail.
Zestawy znaków X-spam: To pole zawiera informacje o zestawach znaków używanych do filtrowania wiadomości e-mail, takich jak UTF itp. UTF to dobry zestaw znaków, który może być wstecznie kompatybilny z ASCII.
X-rozwiązany do: To pole zawiera adres e-mail odbiorcy lub możemy powiedzieć adres serwera pocztowego, na który dostarcza MDA nadawcy. W większości przypadków, X dostarczony do, a to pole zawiera ten sam adres.
Wyniki uwierzytelniania: To pole informuje, czy odebrana poczta z danej domeny przeszła DKIM podpisy i Klucze domeny podpis czy nie. W tym przypadku tak jest.
Uwierzytelnianie-Wyniki: mx.Google.pl;dkim=pass [chroniony e-mail] nagłówek.s=20161025 nagłówek.b=JygmyFja;
spf=pass (google.com: domena [email protected] desygnuje
209.85.000.00 jako dozwolony nadawca)
Odebrane: Pierwsze otrzymane pole zawiera informacje o śledzeniu, gdy adres IP maszyny wysyła wiadomość. Wyświetli nazwę komputera i jego adres IP. W tym polu można zobaczyć dokładną datę i godzinę otrzymania wiadomości.
Otrzymano: od mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])przez mx.Google.com z identyfikatorem SMTPS n84sor2004452iod.19.2020.07.29.00.00.00
dla <[email protected]>
(Bezpieczeństwo transportu Google);
śro, 29 lip 2020 05:51:20 -0700 (PDT)
Do, od i temat: Pola „Do”, „od” i „temat” zawierają informacje o adresie e-mail odbiorcy, adresie e-mail nadawcy oraz temacie określonym w momencie wysyłania wiadomości e-mail przez nadawcę. Pole tematu jest puste na wypadek, gdyby nadawca pozostawił je w ten sposób.
Nagłówki MIME: Dla MUA wykonać prawidłowe dekodowanie, aby wiadomość została bezpiecznie przesłana do klienta, MIM kodowanie transferu, MIM treść, jej wersja i długość są ważnym tematem.
Wersja MIME: 1.0Content-Type: tekst/zwykły; charset="UTF-8"
Content-Type: wieloczęściowy/alternatywny; granica="00000000000023294e05ab94032b"
ID wiadomości: Message-id zawiera nazwę domeny z dołączonym unikalnym numerem przez serwer wysyłający.
ID wiadomości: <[email protected]om>Badanie serwera :
W tego typu dochodzeniu sprawdzane są duplikaty przekazywanych wiadomości i dzienniki pracowników, aby odróżnić źródło wiadomości e-mail. Nawet jeśli klienci (nadawcy lub beneficjenci) usuną swoje wiadomości e-mail, których nie można odzyskać, wiadomości te mogą być rejestrowane przez serwery (proxy lub usługodawców) w dużych porcjach. Te proxy przechowują duplikat wszystkich wiadomości po ich przekazaniu. Co więcej, dzienniki prowadzone przez pracowników mogą być skoncentrowane na śledzeniu lokalizacji komputera odpowiedzialnego za wymianę wiadomości e-mail. W każdym razie Proxy lub ISP przechowują duplikaty dzienników poczty e-mail i serwera tylko przez pewien czas, a niektórzy mogą nie współpracować z śledczymi śledczymi. Ponadto pracownicy SMTP, którzy przechowują informacje, takie jak numer wizy i inne informacje dotyczące właściciela skrzynki pocztowej, mogą być wykorzystywani do rozróżniania osób za adresem e-mail.
Taktyka przynęty :
W dochodzeniu tego typu wiadomość e-mail z http: “” tag mający źródło obrazu na dowolnym komputerze sprawdzanym przez egzaminatorów jest wysyłany do nadawcy badanej wiadomości e-mail zawierającej prawdziwe (autentyczne) adresy e-mail. W momencie otwarcia wiadomości e-mail rejestrowana jest sekcja dziennika zawierająca adres IP odbiorcy (nadawcy sprawcy) na serwerze HTTP, który hostuje obraz i zgodnie z tymi liniami nadawca jest obserwowany. W każdym razie, jeśli osoba po stronie odbierającej korzysta z serwera proxy, adres IP serwera proxy jest śledzony.
Serwer proxy zawiera dziennik, który może być dalej wykorzystywany do śledzenia nadawcy wiadomości e-mail objętej dochodzeniem. W przypadku, gdy nawet log serwera proxy jest niedostępny z powodu jakiegoś wyjaśnienia, w tym momencie egzaminatorzy mogą wysłać paskudny e-mail mając Wbudowany Jabłko Javydziała w systemie komputerowym odbiorcy lub Strona HTML z Active X Object wyśledzić pożądaną osobę.
Badanie urządzeń sieciowych :
Urządzenia sieciowe, takie jak zapory, routery, przełączniki, modemy itp. zawierają logi, które można wykorzystać do śledzenia źródła wiadomości e-mail. W tego typu dochodzeniu dzienniki te są używane w celu zbadania źródła wiadomości e-mail. Jest to bardzo złożony rodzaj śledztwa kryminalistycznego i rzadko używany. Jest często używany, gdy logi serwera proxy lub dostawcy usług internetowych są niedostępne z jakiegoś powodu, takiego jak brak konserwacji, lenistwo lub brak wsparcia dostawcy usług internetowych.
Wbudowane identyfikatory oprogramowania :
Niektóre dane o autorze dołączonych do wiadomości e-mail rekordów lub archiwów mogą zostać włączone do wiadomości przez oprogramowanie poczty e-mail używane przez nadawcę do tworzenia wiadomości. Te dane mogą być zapamiętane dla typu niestandardowych nagłówków lub jako zawartość MIME w formacie TNE. Badanie wiadomości e-mail pod kątem tych subtelności może ujawnić pewne istotne dane dotyczące preferencji e-mail nadawców i wyborów, które mogą wspierać zbieranie dowodów po stronie klienta. Badanie może odkryć nazwy dokumentów PST, adres MAC itp. komputera klienta używanego do wysyłania wiadomości e-mail.
Analiza załącznika :
Wśród wirusów i złośliwego oprogramowania większość z nich jest wysyłana za pośrednictwem połączeń e-mail. Badanie załączników do wiadomości e-mail jest pilne i kluczowe w każdym badaniu związanym z wiadomościami e-mail. Kolejnym ważnym polem badawczym jest wyciek danych prywatnych. Dostępne jest oprogramowanie i narzędzia umożliwiające odzyskiwanie informacji związanych z pocztą e-mail, na przykład załączników z dysków twardych systemu komputerowego. W celu zbadania podejrzanych połączeń śledczy przesyłają załączniki do internetowej piaskownicy, na przykład VirusTotal, aby sprawdzić, czy dokument zawiera złośliwe oprogramowanie, czy nie. Tak czy inaczej, ważne jest, aby zarządzać na szczycie listy priorytetów, aby niezależnie od tego, czy rekord przechodzi przez ocenę, na przykład VirusTotal, nie jest to zapewnienie, że jest całkowicie chroniony. Jeśli tak się stanie, mądrym pomysłem jest dalsze badanie rekordu w sytuacji piaskownicy, na przykład Kukułka.
Odciski palców nadawcy poczty :
O badaniu Odebrane pole w nagłówkach, można zidentyfikować oprogramowanie obsługujące wiadomości e-mail po stronie serwera. Z drugiej strony, po zbadaniu X-mailer w polu, można zidentyfikować oprogramowanie obsługujące wiadomości e-mail po stronie klienta. Te pola nagłówka przedstawiają oprogramowanie i jego wersje używane po stronie klienta do wysłania wiadomości e-mail. Te dane dotyczące komputera klienckiego nadawcy można wykorzystać do pomocy egzaminatorom w sformułowaniu skutecznej strategii, dzięki czemu te wiersze są bardzo cenne.
E-mailowe narzędzia śledcze :
W ciągu ostatniej dekady powstało kilka narzędzi lub oprogramowania do śledztwa e-mailowego na miejscu przestępstwa. Jednak większość narzędzi została stworzona w odosobniony sposób. Poza tym większość z tych narzędzi nie ma na celu rozwiązania konkretnego problemu związanego z błędami cyfrowymi lub komputerowymi. Zamiast tego planuje się wyszukiwanie lub odzyskiwanie danych. Nastąpiła poprawa narzędzi kryminalistycznych, aby ułatwić pracę śledczym, a w Internecie dostępnych jest wiele niesamowitych narzędzi. Niektóre narzędzia używane do analizy śledczej poczty e-mail są następujące:
EmailTrackerPro :
EmailTrackerPro bada nagłówki wiadomości e-mail, aby rozpoznać adres IP maszyny, która wysłała wiadomość, aby można było znaleźć nadawcę. Może jednocześnie śledzić różne komunikaty i skutecznie je monitorować. Lokalizacja adresów IP to kluczowe dane przy podejmowaniu decyzji o poziomie zagrożenia lub zasadności wiadomości e-mail. To niesamowite narzędzie może trzymać się miasta, z którego najprawdopodobniej pochodzi wiadomość e-mail. Rozpoznaje dostawcę usług internetowych nadawcy i podaje dane kontaktowe do dalszego zbadania. Prawdziwa droga do adresu IP nadawcy jest uwzględniona w tabeli sterującej, dając dodatkowe dane o obszarze, aby pomóc w określeniu rzeczywistego obszaru nadawcy. Zawarty w nim element zgłaszania nadużyć może być bardzo dobrze wykorzystany do uproszczenia dalszych badań. W celu ochrony przed spamem sprawdza i weryfikuje wiadomości e-mail z czarnymi listami spamu, na przykład Spamcops. Obsługuje różne języki, w tym filtry antyspamowe w języku japońskim, rosyjskim i chińskim, a także angielski. Istotnym elementem tego narzędzia jest ujawnienie nadużyć, które może spowodować zgłoszenie, które można wysłać do Usługodawcy (ISP) nadawcy. Dostawca usług internetowych może wtedy znaleźć sposób na znalezienie właścicieli kont i pomoc w zablokowaniu spamu.
Xtraxtor :
To niesamowite narzędzie Xtraxtor zostało stworzone w celu oddzielenia adresów e-mail, numerów telefonów i wiadomości z różnych formatów plików. W naturalny sposób rozróżnia obszar domyślny i szybko sprawdza informacje e-mail za Ciebie. Klienci mogą to zrobić bez większego wysiłku, wyodrębnić adresy e-mail z wiadomości, a nawet z załączników do plików. Xtraxtor przywraca usunięte i nieoczyszczone wiadomości z wielu konfiguracji skrzynek pocztowych i kont pocztowych IMAP. Dodatkowo ma łatwy do nauczenia interfejs i dobrą funkcję pomocy, aby uprościć aktywność użytkownika, a także oszczędza sporo czasu dzięki szybkiej wiadomości e-mail, przygotowaniu funkcji silnika i dedubbingu. Xtraxtor jest kompatybilny z plikami MBOX Mac i systemami Linux i może zapewnić zaawansowane funkcje w celu znalezienia odpowiednich informacji.
Advik (narzędzie do tworzenia kopii zapasowych poczty e-mail):
Advik, narzędzie do tworzenia kopii zapasowych wiadomości e-mail, to bardzo dobre narzędzie, które służy do przesyłania lub eksportowania wszystkich wiadomości e-mail ze skrzynki pocztowej, w tym wszystkich folderów, takich jak wysłane, wersje robocze, skrzynka odbiorcza, spam itp. Użytkownik może bez większego wysiłku pobrać kopię zapasową dowolnego konta e-mail. Konwersja kopii zapasowej wiadomości e-mail w różnych formatach plików to kolejna świetna funkcja tego niesamowitego narzędzia. Jego główną cechą jest Filtr Zaawansowany. Ta opcja pozwala zaoszczędzić ogromną ilość czasu dzięki szybkiemu wyeksportowaniu potrzebnych nam wiadomości ze skrzynki pocztowej. IMAP funkcja daje możliwość pobierania wiadomości e-mail z magazynów w chmurze i może być używana ze wszystkimi dostawcami usług poczty e-mail. Advik może służyć do przechowywania kopii zapasowych wybranej lokalizacji i obsługuje wiele języków wraz z angielskim, w tym japoński, hiszpański i francuski.
Narzędzia systemowe MailXaminer :
Za pomocą tego narzędzia klient może zmieniać swoje kanały polowania w zależności od sytuacji. Daje klientom alternatywę do zaglądania do wiadomości i połączeń. Co więcej, to narzędzie do kryminalistycznych wiadomości e-mail oferuje dodatkowo kompleksową pomoc w naukowej analizie wiadomości e-mail zarówno obszaru roboczego, jak i administracji elektronicznej poczty e-mail. Pozwala egzaminatorom zająć się więcej niż jedną sprawą w sposób zgodny z prawem. Podobnie, za pomocą tego narzędzia do analizy wiadomości e-mail specjaliści mogą nawet przeglądać szczegóły czatu, przeprowadzać badanie połączeń i wyświetlać szczegóły wiadomości między różnymi klientami aplikacji Skype. Główne cechy tego oprogramowania to obsługa wielu języków wraz z angielskim, w tym japońskim, hiszpańskim, francuskim i chińskim, a format, w którym odzyskuje usunięte wiadomości, jest akceptowany przez sąd. Zapewnia widok zarządzania dziennikiem, w którym widoczny jest dobry widok wszystkich działań. Narzędzia systemowe MailXaminer jest kompatybilny z dd, e01, zip i wiele innych formatów.
Reklamacja :
Istnieje narzędzie o nazwie Reklamuj który służy do raportowania komercyjnych maili i wpisów do botnetów, a także reklam typu „zarób szybkie pieniądze”, „szybkie pieniądze” itp. Adcomplain sam przeprowadza analizę nagłówków nadawcy wiadomości e-mail po zidentyfikowaniu takiej wiadomości i zgłasza ją dostawcy usług internetowych nadawcy.
Wniosek :
E-mail jest używany przez prawie każdą osobę korzystającą z usług internetowych na całym świecie. Oszuści i cyberprzestępcy mogą fałszować nagłówki wiadomości e-mail i anonimowo wysyłać wiadomości e-mail zawierające złośliwe i oszukańcze treści, co może prowadzić do narażenia danych i włamań. I to właśnie zwiększa znaczenie badania kryminalistycznego poczty elektronicznej. Cyberprzestępcy używają kilku sposobów i technik, aby kłamać na temat swojej tożsamości, takich jak:
- Podszywanie się :
Aby ukryć swoją tożsamość, źli ludzie fałszują nagłówki e-maili i wypełniają je błędnymi informacjami. Kiedy fałszowanie wiadomości e-mail łączy się ze fałszowaniem adresów IP, bardzo trudno jest namierzyć osobę, która za tym stoi.
- Nieautoryzowane sieci :
Sieci, które są już zagrożone (w tym zarówno przewodowe, jak i bezprzewodowe) są wykorzystywane do wysyłania wiadomości spamowych w celu ukrycia tożsamości.
- Otwarte przekaźniki poczty :
Źle skonfigurowany przekaźnik poczty akceptuje pocztę ze wszystkich komputerów, w tym z tych, z których nie powinien. Następnie przekazuje ją do innego systemu, który również powinien akceptować pocztę z określonych komputerów. Ten typ przekaźnika poczty nazywa się otwartym przekaźnikiem poczty. Ten rodzaj przekaźnika jest używany przez oszustów i hakerów do ukrywania swojej tożsamości.
- Otwórz proxy :
Maszyna, która umożliwia użytkownikom lub komputerom łączenie się za jej pośrednictwem z innymi systemami komputerowymi, nazywa się Serwer proxy. Istnieją różne typy serwerów proxy, takie jak firmowy serwer proxy, przezroczysty serwer proxy itp. w zależności od rodzaju zapewnianej przez nich anonimowości. Otwarty serwer proxy nie śledzi zapisów działań użytkowników i nie prowadzi dzienników, w przeciwieństwie do innych serwerów proxy, które przechowują zapisy działań użytkowników z odpowiednimi znacznikami czasu. Tego rodzaju serwery proxy (otwarte serwery proxy) zapewniają anonimowość i prywatność, które są cenne dla oszusta lub złej osoby.
- Anonimizatorzy :
Anonimizatory lub re-mailery to strony internetowe działające pod pozorem ochrony prywatności użytkownika w Internecie i ich anonimowości poprzez celowe pominięcie nagłówków wiadomości e-mail i nieutrzymywanie logów serwera.
- Tunel SSH :
W Internecie tunel oznacza bezpieczną ścieżkę dla danych przesyłanych w niezaufanej sieci. Tunelowanie można wykonać na różne sposoby, w zależności od używanego oprogramowania i techniki. Korzystając z funkcji SSH, można ustanowić tunelowanie przekierowania portów SSH i utworzyć zaszyfrowany tunel wykorzystujący połączenie protokołu SSH. Oszuści wykorzystują tunelowanie SSH do wysyłania e-maili, aby ukryć swoją tożsamość.
- Botnety:
Termin bot otrzymany od „robota” w swojej konwencjonalnej strukturze jest używany do przedstawiania treści lub zestawu treści lub programu przeznaczonego do wykonywania predefiniowanych prac w kółko, a w konsekwencji w wyniku celowej aktywacji lub infekcji systemu. Pomimo faktu, że boty zaczęły być pomocnym elementem w przekazywaniu ponurych i żmudnych działań, są one jednak wykorzystywane do złośliwych celów. Boty, które służą do wykonywania prawdziwych ćwiczeń w zmechanizowany sposób, nazywane są miłymi botami, a te, które są przeznaczone do złośliwego celu, nazywane są złośliwymi botami. Botnet to system botów ograniczonych przez botmastera. Botmaster może nakazać swoim kontrolowanym botom (złośliwym botom) działającym na podkopanych komputerach na całym świecie wysyłanie wiadomości e-mail do niektórych wyznaczonych lokalizacji, ukrywając jednocześnie swoją postać i popełniając oszustwo e-mail lub oszustwo e-mail.
- Niewykrywalne połączenia internetowe:
Kafejka internetowa, kampus uniwersytecki, różne organizacje zapewniają użytkownikom dostęp do Internetu poprzez współdzielenie Internetu. W takim przypadku, jeśli nie jest prowadzony odpowiedni dziennik działań użytkowników, bardzo łatwo jest wykonywać nielegalne działania i oszustwa e-mailowe i ujść im na sucho.
Analiza śledcza poczty e-mail służy do znalezienia rzeczywistego nadawcy i odbiorcy wiadomości e-mail, daty i godziny jej otrzymania oraz informacji o urządzeniach pośrednich zaangażowanych w dostarczenie wiadomości. Dostępne są również różne narzędzia przyspieszające wykonywanie zadań i łatwe znajdowanie pożądanych słów kluczowych. Narzędzia te analizują nagłówki wiadomości e-mail i zapewniają śledczym pożądany rezultat w mgnieniu oka.
