Ponad 90 procent korespondencji elektronicznej krążącej po całym świecie to zwyczajne śmieci. Filtry spamowe programów pocztowych i operatorzy skrzynek w Internecie nie są w stanie wyłapać wszystkich odpadów, więc do twojego komputera trafiają siłą rzeczy także podejrzane e-maile. Podczas gdy niektóre spośród nich można od razu zaklasyfikować jako niepoważne, w wypadku wielu innych rodzą się duże wątpliwości.

Poniższy materiał podpowie ci, jak dowiedzieć się wszystkiego o danej wiadomości i zawartych w niej odnośnikach internetowych. Podejrzane załączniki można przetestować za pomocą internetowych skanerów.

Zobacz również:

• Sprawdzone sposoby na ochronę służbowej skrzynki pocztowej
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Uwaga! W listopadzie 2009 r. roiło się od maili nadawanych rzekomo przez firmę kurierską DHL. Te fałszywki były niemalże idealną imitacją oryginału, lecz usiłowały przemycić do systemu potencjalnych ofiar wirusa w załączonym archiwum ZIP.

Łatwe do sfałszowania - nie wierz w dane nadawcy

Bardzo często fałszuje się dane zawarte w wierszu Od:. Prawie nigdy nie udaje się jednak ustalić rzeczywistego nadawcy e-maila. Możesz za to odkryć operatora, poprzez którego wysłano wiadomość. Kryje się on za adresem IP, który jest wyszczególniony w nagłówku e-maila.

Jak znaleźć nagłówek

Jeśli korzystasz z Outlooka, otwórz żądaną wiadomość i wskaż menu Widok | Opcje (lub Narzędzia | Opcje). Nagłówek zostanie wyświetlony w dolnej części okna. W Outlook Expressie zaznacz wiadomość na liście (nie musisz jej otwierać), po czym naciśnij klawisze [Ctrl F3]. W programie Thunderbird użyj zamiast tego skrótu klawiaturowego [Ctrl U].

O źródle listu świadczą informacje w wierszach rozpoczynających się od Received:. Również tu zdarzają się przekłamania. Oszuści np. wstawiają kilka podrobionych wierszy tuż pod autentycznymi. Na samej górze znajdziesz wiersz umieszczony przez ostatni serwer. Pochodzi od twojego operatora poczty i z całkowitą pewnością nie został sfałszowany.

Analizowanie adresów IP

Dane nadawcy widniejące w wierszu Received: w większości wypadków ograniczają się do adresu IP i domeny. Za pomocą serwisów internetowych uda ci się ustalić znacznie więcej. Tym sposobem dowiesz się, kto kryje się za określonym adresem IP i czy w ogóle pasuje do podanej domeny.

Jest to możliwe przy użyciu zapytania Who is. Wpisz adres IP z nagłówka mailowego w jednym z serwisów realizujących zapytania Who is, np. pod adresem www.dnsstuff.com lub www.network-tools.com. Liczby należy wprowadzić w polu Whois Lookup. Nie licz na to, że zapytanie wykaże pojedynczą osobę. Znacznie częściej adres IP okazuje się częścią wielkiego obszaru adresowego, który należy np. do operatora ADSL lub innego przedsiębiorstwa. Ale wyobraź to sobie na przykładzie wiadomości pochodzącej rzekomo z banku. Na ile może być wiarygodna, jeśli pochodzi z chińskiego, rosyjskiego lub brazylijskiego adresu IP?

Przypadek szczególny. Jeśli jako właściciel jest podany IANA/Internet Assigned Numbers Authority, masz do czynienia z adresem IP, którego można używać tylko w sieciach lokalnych. Nie zda się na nic do ustalenia nadawcy podejrzanego e-maila.

Wygodne rozwiązanie. Znacznie łatwiej analizuje się adres IP, korzystając z serwisu headertool.apelord.com. Wystarczy skopiować żądany adres do schowka, a następnie wkleić go w powyższej witrynie. Samodzielnie znajdzie adresy IP zawarte w nagłówku i wyświetli przyciski, którymi zainicjujesz zapytanie Who is.

Narzędzie do analizowania. Bardzo przydatnym, a zarazem popularnym narzędziem do analizowania nagłówków e-mailowych jest bezpłatny Sam Spade (dostępny pod adresem wordtothewise.com/products/samspade.html). Wystarczy skopiować doń nagłówek wiadomości, a natychmiast wyświetli informacje na temat każdego wiersza.

Treść wiadomości - co się kryje za odnośnikami

Wiele otrzymywanych wiadomości jest sporządzonych w formacie HTML. Można w nich definiować odnośniki pod dowolnym tekstem. Thunderbird wyświetla właściwy element docelowy odnośnika w pasku stanu na dole okna. Outlook Express podaje element docelowy w żółtej etykiecie, gdy wskażesz odnośnik kursorem myszy.

Aby uzyskać informację o docelowym elemencie odnośnika w Outlooku, kliknij menu Narzędzia | Opcje. Przeskocz na kartę Preferencje i kliknij przycisk Opcje e-mail. Teraz zaznacz pole wyboru nakazujące Outlookowi wyświetlać wiadomości domyślnie tylko w formacie tekstowym. Wprawdzie od tej pory e-maile nie będą tak kolorowe jak dotychczas, za to ujrzysz faktyczny adres URL.

Ukrywanie - liczy się tylko fragment odnośnika

Cyberprzestępcy bardzo często usiłują ukryć prawdziwy adres URL widniejący w liście elektronicznym. Niekiedy odnośniki są tak długie, że ciężko ustalić właściwą domenę. W wielu wypadkach oszuści wstawiają rzekomą domenę przed lub za faktyczną nazwą domeny.

Obejrzyj dokładnie element docelowy podejrzanego odsyłacza. Rzecz jasna, nie klikaj go. Decydujący adres wykryjesz w następujący sposób. Znajdź domenę najwyższego poziomu (tzw. TLD, Top-Level Domain), czyli np. .pl lub .com. To ciąg znaków, który znajduje się za ostatnią kropką, lecz przed ewentualnymi ukośnikami.

Oto przykład. W odsyłaczu http://nbp.pl/xyz.com/login domena to nbp, zaś domena najwyższego poziomu to .pl. Natomiast w odnośniku http://nbp.pl.gserver.ha.cn/obsluga_klienta/poczatek.cgi?id=09343621... wydaje się, że domeną jest nbp.pl. Tak naprawdę odsyłacz prowadzi do chińskiej domeny oznaczonej jako .cn.