Rozpoznaj zarażone i fałszywe e-maile
- Krzysztof Daszkiewicz,
- Arne Arnold,
- Gaby Salvisberg,
- 14.01.2010, godz. 09:11
Na pierwszy rzut oka trudno jest rozpoznać czy list elektroniczny, który otrzymaliśmy nie jest próbą wyłudzenia danych albo zawiera wirusy. Zadbaj o bezpieczeństwo swojego komputera w trakcie korespondowania. Nasze porady pomogą ci zdemaskować fałszywe e-maile i wykryć każdego szkodnika.
- PC World Testy - Oprogramowanie antywirusowe
- PC World Testy - Pakiety zabezpieczające
- Panda Security: w 2009 roku znacznie więcej zagrożeń - również na Linuksa, Mac OS X czy iPhone'a
- Firewall - 10 porad, które musisz znać
- Fałszywe antywirusy
- URLzone - takiego trojana jeszcze nie widziałeś
- Reklama fałszywego antywirusa na NYTimes.com
Poniższy materiał podpowie ci, jak dowiedzieć się wszystkiego o danej wiadomości i zawartych w niej odnośnikach internetowych. Podejrzane załączniki można przetestować za pomocą internetowych skanerów.
Zobacz również:
- Sprawdzone sposoby na ochronę służbowej skrzynki pocztowej
- Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?
Uwaga! W listopadzie 2009 r. roiło się od maili nadawanych rzekomo przez firmę kurierską DHL. Te fałszywki były niemalże idealną imitacją oryginału, lecz usiłowały przemycić do systemu potencjalnych ofiar wirusa w załączonym archiwum ZIP.
Łatwe do sfałszowania - nie wierz w dane nadawcy
Bardzo często fałszuje się dane zawarte w wierszu Od:. Prawie nigdy nie udaje się jednak ustalić rzeczywistego nadawcy e-maila. Możesz za to odkryć operatora, poprzez którego wysłano wiadomość. Kryje się on za adresem IP, który jest wyszczególniony w nagłówku e-maila.
Jak znaleźć nagłówek
Jeśli korzystasz z Outlooka, otwórz żądaną wiadomość i wskaż menu Widok | Opcje (lub Narzędzia | Opcje). Nagłówek zostanie wyświetlony w dolnej części okna. W Outlook Expressie zaznacz wiadomość na liście (nie musisz jej otwierać), po czym naciśnij klawisze [Ctrl F3]. W programie Thunderbird użyj zamiast tego skrótu klawiaturowego [Ctrl U].
O źródle listu świadczą informacje w wierszach rozpoczynających się od Received:. Również tu zdarzają się przekłamania. Oszuści np. wstawiają kilka podrobionych wierszy tuż pod autentycznymi. Na samej górze znajdziesz wiersz umieszczony przez ostatni serwer. Pochodzi od twojego operatora poczty i z całkowitą pewnością nie został sfałszowany.
Analizowanie adresów IP
Dane nadawcy widniejące w wierszu Received: w większości wypadków ograniczają się do adresu IP i domeny. Za pomocą serwisów internetowych uda ci się ustalić znacznie więcej. Tym sposobem dowiesz się, kto kryje się za określonym adresem IP i czy w ogóle pasuje do podanej domeny.
Jest to możliwe przy użyciu zapytania Who is. Wpisz adres IP z nagłówka mailowego w jednym z serwisów realizujących zapytania Who is, np. pod adresem www.dnsstuff.com lub www.network-tools.com. Liczby należy wprowadzić w polu Whois Lookup. Nie licz na to, że zapytanie wykaże pojedynczą osobę. Znacznie częściej adres IP okazuje się częścią wielkiego obszaru adresowego, który należy np. do operatora ADSL lub innego przedsiębiorstwa. Ale wyobraź to sobie na przykładzie wiadomości pochodzącej rzekomo z banku. Na ile może być wiarygodna, jeśli pochodzi z chińskiego, rosyjskiego lub brazylijskiego adresu IP?
Przypadek szczególny. Jeśli jako właściciel jest podany IANA/Internet Assigned Numbers Authority, masz do czynienia z adresem IP, którego można używać tylko w sieciach lokalnych. Nie zda się na nic do ustalenia nadawcy podejrzanego e-maila.
Wygodne rozwiązanie. Znacznie łatwiej analizuje się adres IP, korzystając z serwisu headertool.apelord.com. Wystarczy skopiować żądany adres do schowka, a następnie wkleić go w powyższej witrynie. Samodzielnie znajdzie adresy IP zawarte w nagłówku i wyświetli przyciski, którymi zainicjujesz zapytanie Who is.
Narzędzie do analizowania. Bardzo przydatnym, a zarazem popularnym narzędziem do analizowania nagłówków e-mailowych jest bezpłatny Sam Spade (dostępny pod adresem wordtothewise.com/products/samspade.html). Wystarczy skopiować doń nagłówek wiadomości, a natychmiast wyświetli informacje na temat każdego wiersza.
Treść wiadomości - co się kryje za odnośnikami
Wiele otrzymywanych wiadomości jest sporządzonych w formacie HTML. Można w nich definiować odnośniki pod dowolnym tekstem. Thunderbird wyświetla właściwy element docelowy odnośnika w pasku stanu na dole okna. Outlook Express podaje element docelowy w żółtej etykiecie, gdy wskażesz odnośnik kursorem myszy.
Aby uzyskać informację o docelowym elemencie odnośnika w Outlooku, kliknij menu Narzędzia | Opcje. Przeskocz na kartę Preferencje i kliknij przycisk Opcje e-mail. Teraz zaznacz pole wyboru nakazujące Outlookowi wyświetlać wiadomości domyślnie tylko w formacie tekstowym. Wprawdzie od tej pory e-maile nie będą tak kolorowe jak dotychczas, za to ujrzysz faktyczny adres URL.
Ukrywanie - liczy się tylko fragment odnośnika
Cyberprzestępcy bardzo często usiłują ukryć prawdziwy adres URL widniejący w liście elektronicznym. Niekiedy odnośniki są tak długie, że ciężko ustalić właściwą domenę. W wielu wypadkach oszuści wstawiają rzekomą domenę przed lub za faktyczną nazwą domeny.
Obejrzyj dokładnie element docelowy podejrzanego odsyłacza. Rzecz jasna, nie klikaj go. Decydujący adres wykryjesz w następujący sposób. Znajdź domenę najwyższego poziomu (tzw. TLD, Top-Level Domain), czyli np. .pl lub .com. To ciąg znaków, który znajduje się za ostatnią kropką, lecz przed ewentualnymi ukośnikami.
Oto przykład. W odsyłaczu http://nbp.pl/xyz.com/login domena to nbp, zaś domena najwyższego poziomu to .pl. Natomiast w odnośniku http://nbp.pl.gserver.ha.cn/obsluga_klienta/poczatek.cgi?id=09343621... wydaje się, że domeną jest nbp.pl. Tak naprawdę odsyłacz prowadzi do chińskiej domeny oznaczonej jako .cn.
Przykład 1. Subskrypcja.
Wiadomość z subskrypcji jest prawdziwa tylko wtedy, gdy sam zamówiłeś otrzymywanie tejże subskrypcji. Zanim operator subskrypcji umieści twój adres na liście wysyłkowej, musi przysłać ci wiadomość z prośbą o potwierdzenie poprzez kliknięcie odnośnika.
Przykład 2. Obietnica wygranej.
Wiele osób marzy o zdobyciu góry pieniędzy niewielkim lub żadnym nakładem pracy. Wiadomości pocztowe z obietnicami wygrania ogromnych kwot na giełdzie, na loterii lub w inny sposób są niewiarygodne.
Przykład 3. Propozycja lukratywnej pracy.
Krąży wiele maili z propozycją pracy na stanowisku agenta finansowego lub regionalnego przedstawiciela jakiejś firmy. Jako honorarium obiecuje się miesięczne wynagrodzenie rzędu kilku tysięcy euro. W ten sposób internetowi oszuści usiłują namówić internautów do użyczania im swojego konta bankowego, aby za jego pośrednictwem mogli prać pieniądze.