Jak namierzyć adres IP nadawcy fałszywego e-maila?

82
0
Udostępnij:
jak namierzyć adres IP nadawcy fałszywego e-maila

Być może zastanawiałeś się kiedyś jak namierzyć adres IP nadawcy fałszywego e-maila a przede wszystkim w jaki sposób zweryfikować, czy otrzymana wiadomość pochodzi z zaufanego źródła.

 

Z pomocą przychodzą nam poniekąd kampanie reklamowe mające na celu zwiększenie świadomości w zakresie bezpieczeństwa teleinformatycznego. które pojawiły się w ostatnim czasie. Chciałbym skupić się w szczególności na kampanii i reklamie mBanku oraz Poczty Polskiej, ponieważ zawierają one dwie wspólne cechy. Informują one o możliwym zagrożeniu wynikającym z niewłaściwego korzystania z poczty elektronicznej, a konkretnie ostrzegają przed otwieraniem plików lub linków nieznanego pochodzenia.

Trudno doszukiwać się jakichkolwiek negatywnych skutków takich działań, a wręcz przeciwnie – bardzo dobrze, że powstają masowe kampanie ostrzegające lub informujące o możliwych zagrożeniach w cyberprzestrzeni. Obawiam się jednak, że nie ma to zbyt dużego przełożenia na rzeczywistość. Działa to raczej tylko na pozytywny odbiór danej firmy ostrzegającej przed niebezpieczeństwem niż na faktyczne bezpieczeństwo osoby, do której są one kierowane. Standardowy użytkownik Internetu nadal będzie narażony w taki sam sposób na dobrze przygotowany phishing, bo nie wie jak zweryfikować czy otrzymana wiadomość pochodzi od autentycznego nadawcy.

 

Fałszywy e-mail

Każdą wiadomość można bez żadnego problemu sfałszować łącznie ze wszystkimi istotnymi szczegółami takimi jak pole nadawcy czy specyficzny wygląd. Aby zweryfikować, czy mamy do czynienia z prawdziwą wiadomością od rzeczywistego nadawcy musimy sprawdzić nagłówki wiadomości. Polega to na ustaleniu z jakiego serwera pocztowego wysłano wiadomość oraz czy naprawdę był to serwer odpowiadający za obsługę poczty domeny nadawcy.

Niestety nie da się ustalić jaki serwer odpowiada za wysyłkę poczty z określonej domeny. Możemy jednak domyślić się, że nazwa serwera poczty wychodzącej będzie zbliżona do nazwy serwera poczty przychodzącej. Zdobycie takiej informacji nie będzie z kolei trudne.

 

Weryfikacja e-maila

Do poprawnego zobrazowania w jaki sposób zweryfikować otrzymaną wiadomość e-mail pozwoliłem sobie użyć dwóch przykładów. Jako pierwszy posłużył mi sfałszowany przeze mnie mail pochodzący rzekomo od ZUSu. Sprawdźmy jak to wygląda:

zus

 

Sprawdźmy teraz jak może wyglądać nazwa serwera poczty przychodzącej domeny zus.pl:

zus2

 

Jak widzimy pole Received ma zdecydowanie inne nazewnictwo aniżeli prawdziwe, które mogłoby potencjalnie pochodzić z domeny zus.pl. Mamy więc do czynienia z fałszywą wiadomością.

 

Jak namierzyć adres IP nadawcy fałszywego e-maila?

Aby odpowiedzieć na to pytanie użyję drugiego przygotowanego przeze mnie przykładu. Tym razem skorzystałem z usługi pocztowej Onetu, nie mając na celu wysłania fałszywej wiadomości.

Jak namierzyć adres IP nadawcy fałszywego e-maila?

 

Przykład ten pokazuje nam bardzo ważną informację w postaci wskazania adresu lokalnego, czyli mojego adresu IP, z którego wysyłałem tę wiadomość.

Jednak jak pokazała nam pierwsza przykładowa wiadomość, nie jest to reguła. W sfałszowanym mailu pokazany był jedynie adres IP serwera pocztowego z którego nadano wiadomość. Organy ścigania teoretycznie nie będą miały problemów, aby zdobyć adres IP nadawcy, ponieważ można go pozyskać od administratora serwera pocztowego. Praktycznie jednak może się to okazać niemożliwe za sprawą serwerów anonimizujących takich jak np. sieć TOR.

 

IP jak z obrazka

Dosłownie i w przenośni. Adres IP nadawcy sfałszowanego maila można pozyskać także w sposób aktywny licząc przy okazji na łut szczęścia. Zakładając, że autor skutecznie się zabezpieczył możemy jedynie liczyć na jego nieuwagę w postaci odebrania naszej wiadomości ze swojego prawdziwego adresu IP.

Skoro już otrzymaliśmy e-mail, kultura wymagałaby na niego odpowiedzieć. Nie wyślemy jednak zwykłej wiadomości tekstowej, a obrazek w postaci URL, który automatycznie wczyta się po otwarciu wiadomości przez adresata. Potrzebny będzie nam do tego serwer, na którym umieścimy ów niespodziankę.

ofiara

 

Odbierzmy teraz wysłaną wiadomość. Co widzimy:

ofiara2

 

Jak możemy zaobserwować e-mail ze zdjęciem został wysłany i wczytany poprawnie. Nie był to typowy załącznik, a więc niczego nie otwieraliśmy, ani nie pobieraliśmy. Wydaje się więc, że nie zaszła żadna znacząca interakcja. Sprawdźmy jednak czy znajdziemy coś w logach naszego serwera.

logi

 

A jednak! Udało nam się uzyskać adres IP wraz z innymi cennymi informacjami.

 

Alternatywa

Oczywiście służby wiedzą jak namierzyć adres IP nadawcy fałszywego e-maila w nieco inny sposób. Przykładem takiej metody może być korelacja logów ISP lub analiza logów adresatów. Aby dostatecznie jasno przedstawić te metody wcielmy się na chwilę w rolę żartownisia, który wysyła e-maile do instytucji publicznych o podłożonym ładunku bombowym. Załóżmy, że korzystamy z sieci TOR, a wiadomości rozsyłamy o godzinie 3 w nocy.

Jakie mamy punkty zaczepienia:

  • Prawdopodobnie niewiele osób w całej Polsce w tych godzinach mogło łączyć się z siecią TOR. Mając możliwość sprawdzenia logów danego operatora usług internetowych zobaczymy, że o określonej godzinie ktoś połączył się z tą siecią, co znacznie zawęzi obszar i grono podejrzanych. Oczywiście, to tylko poszlaka, bo nie będziemy w stanie ostatecznie udowodnić z jakimi adresem docelowo łączy się podejrzany. Sprawa będzie znacznie trudniejsza, jeżeli przed połączeniem z TOR-em użyjemy VPN-a. Wtedy ISP nie zanotuje w logach połączenia z siecią TOR.
  • Wysyłając masowo maile o podłożeniu ładunku, musimy je najpierw zdobyć. A co jeśli poprzez nieuwagę wyszukiwaliśmy je z własnego „czystego” adresu IP pomijając jakiekolwiek proxy?

Podsumowując – namierzenie adresu IP nadawcy fałszywego e-maila może być bardzo proste i zarazem nierealne.

 

 

Więcej ciekawych informacji znajdziesz na:

 

Udostępnij:

Zostaw komentarz