Jak rozeznat podvržený email

2702745 com email300px1

Někteří lidé si myslí, a asi není jejich chybou, že emailová adresa není směrodatná a adresát neví, od koho obdržel email. Není tomu tak! Problémem často je, že samotné státní instituce rozesílají jejich informační zprávy naplňující znaky phishingu.

Jak tato zpráva vypadá? Jednoduše jako kdyby byla zpráva pravá, s tím rozdílem, že po prozkoumání hlavičky zprávy vyjde pravda na světlo.

Při obdržení emailu například od emailové adresy Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. v tomto tvaru a znění:

 

Platba bankovním převodem na účet číslo XXX, byla stornována z důvodu nedoplnění údajů. Zašlete přihlašovací údaje k Vašemu internetovému účtu. Číslo:000000-224324872/0100, variabilní symbol 90X88XXXXX, částka 10000, specifický symbol 0023.

 

Přihlašovací jméno: Doplňte

 

Heslo: Doplňte

 

Děkujeme

KB Česká Republika

Pravým myšítkem klikněte na zprávu a dejte si zobrazit hlavičku emailu. Zobrazí se něco takového:

 

Return-Path: < Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. >'; document.write(''); document.write(addy_text85883); document.write('<\/a>'); //-->\n Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. ;
Received: from relay2.postmaster.cz (relay2. postmaster.cz [212.20.96.234])
      by m2.post.cz (8.12.8p1/8.12.8) with ESMTP id h81G6vC0094079
      for < Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. >'; document.write('
'); document.write(addy_text32670); document.write('<\/a>'); //-->\n Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. ;; Mon, 1 Sep 2003 18:06:57 +0200 (CEST)
      (envelope-from Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. )
X-Received-Date: Mon, 1 Sep 2003 18:06:57 +0200 (CEST)
Received: from mail.tiscali.cz (stateless1.tiscali.cz [213.235.135.70])
      by relay2.post.cz (8.12.8p1/8.12.8) with ESMTP id h81G6vhe042118
      for < Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. >; Mon, 1 Sep 2003 18:06:57 +0200 (CEST)
      (envelope-from
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
)
Received: from janf0p17i34pf0 (213.235.78.55) by mail.tiscali.cz (6.7.018)
            id 3F269CE00083E64A for Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. ; Mon, 1 Sep 2003 18:01:43 +0200

Message-ID: <000a01c370a3$1b33b6e0$374eebd5@janf0p17i34pf0>;
From: =?iso-8859-2?Q?Jan_Ba=BEil?= < Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. >'; document.write(''); document.write(addy_text86126); document.write('<\/a>'); //-->\n Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript. ;
To: <
Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
>;
Subject: =?iso-8859-2?Q?A_co_j=E1_s_t=EDm=3F?=
Date: Mon, 1 Sep 2003 18:07:10 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;
      boundary="----=_NextPart_000_0007_01C370B3.DD39DE80"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Disposition-Notification-To: =?iso-8859-2?Q?Jan_Ba=BEil?= < Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
>;
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Status: U
X-UIDL: 1062432417.94081_0.m2.post.cz,S=2513

 

Položka X-Mailer ukazuje, jaký program byl použit k odeslání. Z tohoto údaje lze vyvodit, jaký Operační Systém odesílatel využívá. Email prochází přes různé emailové servery, každý z těchto serverů se postupně přidává do hlavičky. Položka Received obsahuje informace, odkud byla zpráva doručena, čím přijmuta, dále zobrazuje pro koho je určena a kdy byla přijmuta. Servery přidávají své "received" na první místo, tzn., že poslední "received" je vlastně prvotní odesílatel a právě ten nás zajímá. Položka received obsahuje hostname i IP serveru, ze kterého byla zpráva odeslána, logicky tedy u poslední položky  hostname a IP odesílatele. Pokud byla zpráva odeslána přes webové rozhraní, bude pravděpodobně chybět hostname a bude tam jen IP adresa, protože tu můžeme přeložit z příkazové řádky napsáním nslookup mezera a ip adresa,  "Received: from janf0p17i34pf0 (213.235.78.55) by mail.tiscali.cz" bude něco ve smyslu "Received: from [213.235.78.55] by mail.tiscali.cz with HTTP".


Nyní již víme, jak podvržený email vzniká, a zároveň ho umíme bezpečně rozeznat. 

 

 

Užitečné odkazy