Como os fraudadores forjam endereços de email e como você pode saber
Considere isso como um anúncio de serviço público: os golpistas podem falsificar endereços de e-mail. Seu programa de e-mail pode dizer que uma mensagem é de um determinado endereço de e-mail, mas pode ser de outro endereço totalmente.
Os protocolos de e-mail não verificam se os endereços são legítimos - golpistas, phishers e outros indivíduos mal-intencionados exploram essa fraqueza no sistema. Você pode examinar os cabeçalhos de um e-mail suspeito para ver se seu endereço foi falsificado.
Como funciona o email
Seu software de e-mail exibe de quem é um e-mail no campo "De". No entanto, nenhuma verificação é realmente realizada - o seu software de e-mail não tem como saber se um e-mail é realmente de quem ele diz que é. Cada e-mail inclui um cabeçalho "De", que pode ser falsificado. Por exemplo, qualquer scammer pode enviar um e-mail que parece ser de [email protected]. Seu cliente de e-mail diria a você que este é um e-mail de Bill Gates, mas não tem como verificar.
E-mails com endereços falsificados podem parecer do seu banco ou de outra empresa legítima. Eles costumam solicitar informações confidenciais, como informações do cartão de crédito ou número do seguro social, talvez depois de clicar em um link que leva a um site de phishing projetado para parecer um site legítimo..
Pense no campo "De" de um email como o equivalente digital do endereço de retorno impresso nos envelopes recebidos pelo correio. Geralmente, as pessoas colocam um endereço de retorno preciso no correio. No entanto, qualquer pessoa pode escrever o que quiser no campo do endereço de retorno - o serviço postal não verifica se uma carta é, na verdade, do endereço de retorno impresso..
Quando o protocolo SMTP (simple mail transfer protocol) foi projetado na década de 1980 para uso da academia e agências governamentais, a verificação dos remetentes não era uma preocupação.
Como investigar os cabeçalhos de um email
Você pode ver mais detalhes sobre um e-mail digitando nos cabeçalhos do e-mail. Essas informações estão localizadas em diferentes áreas em diferentes clientes de e-mail - pode ser conhecida como "fonte" ou "cabeçalhos" do e-mail.
(É claro que geralmente é uma boa ideia desconsiderar totalmente os e-mails suspeitos - se você não tiver certeza sobre um e-mail, provavelmente será uma farsa.)
No Gmail, você pode examinar essas informações clicando na seta no canto superior direito de um e-mail e selecionando Mostrar original. Isso exibe o conteúdo bruto do email.
Abaixo você encontrará o conteúdo de um e-mail de spam real com um endereço de e-mail falsificado. Vamos explicar como decodificar essa informação.
Entregue para: [MEU ENDEREÇO DE EMAIL]
Recebido: por 10.182.3.66 com identificação SMTP a2csp104490oba;
Sáb, 11 de agosto de 2012, 15:32:15 -0700 (PDT)
Recebido: por 10.14.212.72 com identificação SMTP x48mr8232338eeo.40.1344724334578;
Sáb, 11 de Agosto de 2012, 15:32:14 -0700 (PDT)
Return-Path:
Recebido: de 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
por mx.google.com com o ESMTP id c41si1698069eem.38.2012.08.11.15.32.13;
Sáb, 11 de Agosto de 2012, 15:32:14 -0700 (PDT)
Recebido-SPF: neutro (google.com: 72.255.12.30 não é permitido nem negado pelo melhor registro de adivinhação para o domínio de [email protected]) client-ip = 72.255.12.30;
Resultados de autenticação: mx.google.com; spf = neutral (google.com: 72.255.12.30 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected]) [email protected]
Recebido: por vwidxus.net id hnt67m0ce87b para; Dom, 12 Ago 2012 10:01:06 -0500 (envelope-de)
Recebido: de vwidxus.net por web.vwidxus.net com local (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
para [email protected]; Dom, 12 ago 2012 10:01:06 -0500…
De: “Canadian Pharmacy” [email protected]
Existem mais cabeçalhos, mas esses são os mais importantes - eles aparecem na parte superior do texto bruto do email. Para entender esses cabeçalhos, comece pela parte inferior - esses cabeçalhos rastreiam a rota do email de seu remetente para você. Cada servidor que recebe o email adiciona mais cabeçalhos ao topo - os cabeçalhos mais antigos dos servidores onde o email começou estão localizados na parte inferior.
O cabeçalho "De" na parte inferior afirma que o e-mail é de um endereço @ yahoo.com - é apenas uma informação incluída no e-mail; pode ser qualquer coisa. No entanto, acima disso, podemos ver que o e-mail foi recebido pela primeira vez por "vwidxus.net" (abaixo) antes de ser recebido pelos servidores de e-mail do Google (acima). Esta é uma bandeira vermelha - esperávamos ver o cabeçalho "Recebido:" mais baixo na lista como um dos servidores de e-mail do Yahoo!.
Os endereços IP envolvidos também podem lhe dar uma pista - se você receber um e-mail suspeito de um banco americano, mas o endereço IP que recebeu for resolvido para a Nigéria ou a Rússia, é provável que um endereço de e-mail falsificado.
Nesse caso, os remetentes de spam têm acesso ao endereço “[email protected]”, onde desejam receber respostas a seu spam, mas estão forjando o campo “De:” mesmo assim. Por quê? Provavelmente porque eles não podem enviar grandes quantidades de spam através dos servidores do Yahoo! - eles seriam notados e desligados. Em vez disso, eles estão enviando spam de seus próprios servidores e forjando seu endereço.