Najpopularniejsze
    Czy jest sposób na wyzerowanie Windowsa

    Jak sformatować/przywrócić Windows 10?

    Nowy konkurs AVG - weź udział teraz

    Wybierz imię dla ludka-ninja! Wiosenny konkurs AVG!

    Nowy konkurs AVG

    Pomóż nam wybrać koszulkę dla Trybu i zgarnij NOWE gadżety AVG!

    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    • Strona główna
    • Tu zacznij
    • Porady
      • Dla domu
      • Dla firmy
      • Dla szkoły
      • Android
      • Windows
      • Przydatne programy
        • Komputer
        • Mobilne
    • Ciekawostki
    • AVG
      • Strona AVG w Polsce
      • AVG krok po kroku
      • Blog AVG
      • Informacje prasowe
      • Napisali o AVG
      • Promocje
      • Programy
        • Dla domu
        • Dla małej firmy
        • Dla biznesu
      • Forum
    • AVAST
    • Kontakt i współpraca
    Facebook YouTube
    TrybAwaryjny.plTrybAwaryjny.pl
    Strona główna»Porady dla domu»Pocztowy detektyw czyli sprawdzamy wiarygodność maili.
    Porady dla domu

    Pocztowy detektyw czyli sprawdzamy wiarygodność maili.

    5 komentarzyPrzeczytasz w 9 minut

    SPAM czyli niechciana poczta to tylko jeden problem – obecnie wielu dostawców pocztowych stara się oszczędzić nam przygód z wiadomościami śmieciami już na poziomie serwera pocztowego przechwytując i odpowiednio oznaczając lub przenosząc do specjalnego folderu zbędne wiadomości tu za wyznacznik jakości osobiście uważam Gmail, którego moduł antyspamowy jest naprawdę skuteczny.

    Reklamy i inne niechciane materiały to część niechcianych wiadomości – drugie są groźniejsze bardzo często stosując techniki phishingowe służą do wykradania naszych danych do kont i usług, a w groźniejszych przypadkach nawet do kont bankowych.

    Na przykładzie wiadomości phishingowej udającej wiadomość z portalu Facebook pokażę jak sprawdzić wiarygodność wiadomości i w kilka sekund dowiedzieć się czy to co czytamy faktycznie pochodzi z naszego zaufanego portalu czy jest dobrze spreparowaną próbą oszustwa.

    Pierwsza zasada bezpieczeństwa!
    Najpierw czytaj potem klikaj, nie odwrotnie. Przeczytaj treść wiadomości, przyjrzyj się jej. Nie musisz się w nią wpatrywać namiętnym wzrokiem to przecież nie gra w znajdź 7 różnic ale jeśli widzisz coś niepokojącego lub wyglądającego nie tak jak zawsze to poświęć minutkę czy dwie na zbadanie wiadomości dla własnego dobra.

    Porównanie wiadomości

    Kliknij obrazek i zobacz porównanie fałszywej wiadomości od Facebook i prawdziwej. Pierwsza i istotna różnica to język wiadomości jaką otrzymałeś. Jeśli otrzymywałeś zawsze maile w języku polskim to wiadomość w języku np. angielskim automatycznie powinna budzić Twoje podejrzenia.
    Druga istotna sprawa – wiadomość jest adresowana do Ciebie i np. Facebook zawsze zwraca się bezpośrednio do użytkownika rozpoczynając wiadomość „Witaj Arkadiusz!”, a nie jak widać na mistyfikacji „Dear facebook user,” (Drogi użytkowniku facebooka).

    Administracja portalu wie do kogo konto należy, jakie podał w nim dane w tym imię i to imię wykorzystywane jest w mailingach – w fałszywej wiadomości jest zwrot uniwersalny bo preparując fałszywą wiadomość oszuści nie są w stanie zdobyć imion adresatów.

    Ostatnia już nie tak oczywista różnica to stopka wiadomości. W oryginale jest informacja, że jeśli nie wyrażasz zgody na takie wiadomości to kliknij aby anulować subskrypcję czego w fałszywej wiadomości nie znajdziecie i śpieszę wyjaśnić dlaczego. Jest tam zaszyty link z zaszyfrowanym adresem e-mail jaki ma zostać wyrejestrowany z subskrypcji czego oszuści nie są w stanie spreparować. Link wygląda mniej więcej tak:

    //www.facebook.com/o.php?c&k=c708fa&u=100000396275514&mid=1678#########8ef3aG9749fG2b

    Kilka znaków celowo zastąpiłem symbolem #. Kliknięcie w taki link otwiera stronę wymagającą potwierdzenia chęci wyrejestrowania się z list powiadomień.

    Sugerowałem, że to mniej oczywista różnica bo w stopki niewielu czytelników zagląda, a już na pewno niewielu z nas interesuje się ich treścią.

    Druga zasada bezpieczeństwa!
    Skoro na pierwszy rzut oka coś nie wygląda za dobrze z wiadomością to pod żadnym pozorem nie klikaj w żadne linki jakie są w niej podane. Później wyjaśnię jakie linki są zaszyte w fałszywej wiadomości jaką się posługuję i przybliżę ich zasadę działania.

    Jak sprawdzić czy wiadomość jest prawdziwa czy oszustwem?

    1. Zobacz od kogo przyszła wiadomość – w powyższym przykładzie widać, że adresy są bardzo podobne w budowie jak również domena z jakiej wiadomość pochodzi to facebookmail.com więc wygląda ok prawda?
    2. Zobacz do kogo wysłano wiadomość – prawdziwa wiadomość została wysłana przez facebook do mnie i ja widnieję jako jej adresat – w końcu administracja portalu wie do kogo się zwraca. W fałszywej wiadomości natomiast adresatem jest zupełnie nieznana mi osoba.

    Jeśli któryś z powyższych punktów ma miejsce również w Twoim przypadku to pora przejść do sedna sztuki – nagłówki wiadomości.

    „Doklejany” do wiadomości przez serwer pocztowy nagłówek jest nie do oszukania. Jedyny wyjątek to pole from – tak właśnie w omawianym przypadku jest podstawiony w fałszywej wiadomości e-mail adres nadawcy z domeny facebookmail.com – jest to zapisane w nagłówkach.

    To co widać w polu nadawca lub From w naszym programie pocztowym da się oszukać ale to co jest w nagłówkach w polu adres nadawcy i adres zwrotny już jest nie do oszukania.

    Zacznijmy więc od tego jak nagłówki sobie wyświetlić. W przypadku Gmail sprawa jest prosta i wygodna:

    Gmail
    Gmail

    W przeglądarce w czytanej wiadomości klikamy zaznaczoną na czerwono strzałkę i z menu wybieramy pokaż oryginał – nagłówki wyświetlą się w nowym oknie.

    W klientach pocztowych natomiast:

    • Thunderbird – Zaznacz wiadomość, po prawej stronie kliknij przycisk inne i wybierz z listy pokaż źródło.
    • Windows Mail – kliknij wiadomość prawym, wybierz właściwości, zakładkę szczegóły i przycisk źródło wiadomości.
    • The Bat! – zaznacz wiadomość, kliknij prawym specjalne -> Pokaż źródło lub skrót klawiszowy F9.

    Skoro widzisz już nagłówki wiadomości to teraz zobaczmy co ciekawego się w nich kryje i na co warto zwracać uwagę sprawdzając wiadomość:

    Standardowe nagłówki:

    From: "Facebook"
    To:
    Subject: Facebook account update
    Date: Sat, 26 Dec 2009 20:35:07 -0300
    
    • From – od kogo – to właśnie pole da się oszukać
    • To – do kogo
    • Subject – temat
    • Date – czas otrzymania

    Standardowe nagłówki są domyślnie wyświetlane przy przeglądaniu wiadomości mail – zawsze widać kto do kogo napisał, kiedy i jaki jest temat wiadomości.

    Zaawansowane nagłówki:

    Return-Path:

    Return-Path to ścieżka zwrotna tu widać prawdziwy adres nadawcy i tego adresu już nie da się podmienić tak jak ma to miejsce w przypadku pola From. Widzimy od kogo – facebookmail.com ale jeśli odpowiemy na tą wiadomość to trafi ona na adres jaki widnieje w Return-Path czyli adresie zwrotnym.

    Kolejny raz zaznaczam, że pole From widać domyślnie i widzimy nie koniecznie prawdziwy adres zwrotny natomiast ścieżka zwrotna jest zaszyta w nagłówkach i nie zawsze musi być taka sama jak w polu From – oszuści znają nagłówki i wiedzą co domyślnie widać, a czego nie i wierzcie mi wykorzystują tą wiedzę.

    Received: from 190-51-159-103.speedy.com.ar ([190.51.159.103])
    by mx.google.com with ESMTP id 28si21547701eyg.12.2009.12.26.15.35.19;
    Sat, 26 Dec 2009 15:35:50 -0800 (PST)
    

    Odebrano z 190-51-159-103.speedy.com.ar przez mx.google.com (serwer Gmail – odbiorca).

    Co istotnego jest w tym właśnie nagłówku? Domena z jakiej wiadomość została wysłana – w oszukanym nadawcy widzimy facebookmail.com ale wysłane z speedy.com.ar?

    Sprawdźmy więc coś więcej na temat tej domeny. Wchodzimy na witrynę: //whois.domaintools.com/ wpisujemy interesującą nas domenę i klikamy lookup. Dowiemy się na kogo domena jest zarejestrowana, gdzie i jakie są istotne informacje na jej temat. Jak widać mamy wystarczający dowód aby pod żadnym pozorem nie ufać żadnej treści w tej wiadomości – facebook na pewno nie będzie do nas pisał z domeny zarejestrowanej w Argentynie na Pana Federico Leonel Stellato i należącej do Telefonica de Argentina S.A. w Buenos Aires.

    Zobaczmy teraz nagłówek prawdziwego maila od Facebook:

    Received: from mx-out.facebook.com (elektroda.net [10.10.17.20])
    by elektroda.net (Mail System Elektroda.net) with ESMTP id 4F8EDD8C059
    for <****@elektroda.net>; Tue, 13 Oct 2009 14:28:48 +0200 (CEST)
    

    Już sam nagłówek Received czyli od kogo otrzymano wiele nam powie – mx-out.facebook.com czyli serwer pocztowy Facebooka.

    Return-Path:
    

    Adres zwrotny również kieruje nas na facebook czyli jest taki sam jak ten, który widzimy w polu From – nadawca.

    Co jeszcze istotnego jest w prawdziwej wiadomości czego nie znajdziemy w fałszywej?

    DKIM-Signature: v=1; a=rsa-sha1; d=facebookmail.com; s=q1-2009b; c=relaxed/relaxed;
    q=dns/txt; i=@facebookmail.com; t=1255436927;
    h=From:Subject:Date:To:MIME-Version:Content-Type;
    bh=Ns7kt1r5XmjD/ow92y3v7IS7fNQ=;
    b=CWO8toahQp6LsdFZ5tbgkbvY5eRjWSQwv6jBNp4XhiTEDObF1DfdfGWrXl33KTjk
    29f/2aT5M0t0KiAO7F2RWA==;
    

    Sygnatura czyli informacja o użyciu klucza RSA (klucz kryptograficzny) informujący nas, że wiadomość została przesłana z potwierdzeniem certyfikatem TLS lub SSL czyli przez bezpieczne, szyfrowane połączenie.

    Jak wynika z lektury powyższych informacji raptem kilka kroków, a tym samym poświęcenie 1-2 min naszego cennego czasu może nam oszczędzić przygód z oszustami, zainfekowania komputera wirusem lub nawet utraty konta w tym przypadku tylko na portalu społecznościowym Facebook ale sami zastanówcie się co mogłoby nas spotkać jeśli to była by wiadomość z np. banku, w którym macie konto? Znane są przypadki fałszywych mailingów podszywających się pod banki nawet polskie np. BZ WBK stał się nie tak dawno ofiarą sprytnych oszustów i zaczęły krążyć fałszywe wiadomości łudząco podobne do oryginalnych, rozsyłanych przez bank.

    Co jeśli zamiast czytania zaczęlibyśmy klikać w linki w wiadomości? Sami zobaczcie:

    Fałszywa wiadomość
    Fałszywa strona Facebook.

    Wiadomość informowała nas o nowym, bezpieczniejszym sposobie korzystania z konta w Facebook, który wymaga zmiany sposobu logowania się do konta. kliknięcie w link jaki w wiadomości był podany przenosi nas na stronę łudząco podobną do oryginalnej ale…. w języku angielskim co dla nas już powinno być wystarczająco podejrzane.
    Co jeszcze jest podejrzanego w tym linku? Popatrzmy na adres strony na jakiej jesteśmy:

    //www.facebook.com.piwjiilil.com.pl/usersdirectory/LoginFacebook.php?ref=44358495087505554058892771503453403896988472602752625556301
    8192265696219206&email=person@kerger.net

    Już sam wpis w adresie piwjiilil.com.pl jest wystarczającym powodem żeby się nie logować na tej stronie!
    Prawdziwa strona logowania to: https://login.facebook.com/login.php?

    Jaka jest istotna różnica? Oszuści zapraszają nas przez HTTP natomiast na prawdziwą stronę logujemy się przez HTTPS czyli szyfrowane, bezpieczne połączenie co jest bardzo ważne.

    Co jeszcze budzi podejrzenia w oszukańczym linku? Linia ref= skrót od referrer czyli polecający i do tego na końcu linii z adresem nie nasz adres email.

    Prześledźmy więc dalej podejrzaną stronę. Wchodzimy na //www.phishtank.com/ czyli stronę zbierającą informacje na temat podejrzanych i niebezpiecznych witryn oraz witryn z zagrożeniami phishingowymi czyli wykradaniem danych.

    W polu szukaj wklejamy //www.facebook.com.piwjiilil.com.pl i klikamy Is it a phish? Wynik jest łatwy do zinterpretowania – czerwony znak i obok napis Is a phish łatwo sugeruje, że strona jest niebezpieczna i została sprawdzona. Sprawdzenie na phishtank odbywa się na podstawie zbierania liczby zgłoszeń z danym adresem. Im więcej pojawia się zgłoszeń, że witryna jest niebezpieczna tym szybciej zapełnia się jej statystyka Is a phish. Gdy osiągnie pewien poziom zgłoszeń zostaje zweryfikowana i finalnie oznaczona jako verified i wystawiona zostaje odpowiednia ocena.

    Skoro klikamy to warto mieć na uwadze przeglądarkę jakiej używamy. Zobaczcie sami:

    Firefox 3.5.6

    Firefox

    Opera 10

    Opera
    Opera

    Internet Explorer 8

    Internet Explorer
    Internet Explorer

    Co widzimy? Dwie z trzech najpopularniejszych przeglądarek z łatwością blokują niebezpieczną stronę natomiast Internet Explorer wpuszcza nas na stronę, która jest dla nas zagrożeniem. W chwili wejścia na stronę przez IE ratuje mnie AVG LinkScanner:

    Ostrzeżenie LinkScannera
    Ostrzeżenie LinkScannera

    Czym więc jest strona na jaką trafiliśmy? To strona typowo phishingowa – podajesz dane jakie wykorzystywałeś do logowania się w portalu Facebook i trafiają one w ręce niepowołanych osób. W jednej chwili możesz stracić swoje konto przez najzwyklejszą chwilę nieuwagi i pochopności.

    Na koniec to co powiedziałem już wcześniej – najpierw czytaj potem klikaj.

    Bezpiecznych linków życzę.

    ___

    Artykuł powstał dzięki CORE – polskiemu dystrybutorowi antywirusów AVAST i AVG. Wykorzystaj najlepszy antywirus Avast Ultimate. Jeden antywirus zapewni ochronę wszystkim Twoim urządzeniom.
    antywirus avast logo

     

    Oceń artykuł
    [Głosów: 2 Średnia: 5]

    Podobał Ci się ten artykuł?

    Zapisz się na listę i nie przegap nowych ciekawostek, porad i konkursów!

    Prowadzisz małą lub średnią firmę?

    Pobierz Darmowy Ebook - Bezpieczna firma z AVG, który pomoże Ci zwiększyć bezpieczeństwo biznesu, zaoszczędzić czas oraz pieniądze.

    Znajdziesz w nim ponad 30 konkretnych artykułów, dzięki którym dowiesz jak się jak szybko i łatwo, za pomocą darmowych narzędzi zadbać o takie rzeczy jak: polityka bezpiecznych haseł, backup cennych danych, blokowanie portów USB, korzystanie z pulpitu zdalnego, awaryjne odzyskiwanie danych... i wiele, wiele więcej!

    Pobierz e-book teraz!

    Bezpieczeństwo Email Facebook LinkScanner Phishing SPAM
    Udostępnij. Facebook Twitter Pinterest LinkedIn Tumblr Email
    Arkadiusz Zakrzewski

      Specjalista pomocy technicznej AVG, IT Wizard, zapalony gracz, fan komiksu, literatury fantasy i muzyki metalowej.

      Subscribe
      Powiadom o
      guest
      guest
      5 komentarzy
      najstarszy
      najnowszy oceniany
      Inline Feedbacks
      View all comments
      foxiu
      foxiu
      13 lat temu

      Bardzo ciekawy wpis, w sumie nigdy nie wgłębiałem się w analizę takich maili. Po prostu nie klikam w nic co każe mi się zalogować / podać hasło / etc. 🙂

      0
      Odpowiedz
      trackback
      Portale społecznościowe znów zagrożenie. « techblog.avg.pl
      13 lat temu

      […] zajrzycie we wcześniejszy z moich wpisów odnośnie sprawdzania wiarygodności e-mail to postępując z jej wskazówkami przejrzymy nagłówki […]

      0
      Odpowiedz
      trackback
      Nie ufaj zaproszeniom od celebrytów « techblog.avg.pl
      12 lat temu

      […] O fałszywych zaproszeniach z Facebook’a pisałem już kiedyś przy okazji artykułu o czytaniu nagłówków fałszywych wiadomości e-mail. […]

      0
      Odpowiedz
      miroslaw
      miroslaw
      12 lat temu

      Bardzo dobre informacje szukałem jak zablokować taki spam .Trzeba wpisać adres z Return-Path: a nie adres wyświetlany w poczcie

      0
      Odpowiedz
      Strong
      Strong
      10 lat temu

      bardzo dobry artykuł!

      0
      Odpowiedz
      foxiu
      foxiu
      4 lat temu

      Bardzo ciekawy wpis, w sumie nigdy nie wglebialem sie w analize takich maili. Po prostu nie klikam w nic co kaze mi sie zalogowac / podac haslo / etc. 🙂

      0
      Odpowiedz
      miroslaw
      miroslaw
      4 lat temu

      Bardzo dobre informacje szukalem jak zablokowac taki spam .Trzeba wpisac adres z Return-Path: a nie adres wyswietlany w poczcie

      0
      Odpowiedz
      Strong
      Strong
      4 lat temu

      bardzo dobry artykul!

      0
      Odpowiedz
      Najnowsze komentarze
      • Arkadiusz Zakrzewski Cześć, Do tego potrzebujesz nośnika instalacyjnego. Możesz go samodzielnie szybko utworzyć...Jak sformatować/przywrócić Windows 10?
      • Ania A gdzie ma przechowywane dane? Lokalnie czy nie? Bo to są dane newralgiczne, finansowe itd...10 ciekawych programów do wystawiania faktur w małej firmie
      • Jarek A co jak system nie chce się uruchomić jak wtedy zrobić format?Jak sformatować/przywrócić Windows 10?
      • Natan Bardzo dobry operator, my nie mogliśmy znaleźć firmy która podłączyła by nam internet do...Jaki Internet wybrać do pracy w dużym mieście? Lista najlepszych dostawców
      • Tomek Na topie jest FakturaXL.pl i to ten program rzeczywiście wszędzie polecają. Nie bez powodu...10 ciekawych programów do wystawiania faktur w małej firmie
      Skuteczny Antywirus
      Encyklopedia Bezpieczeństwa
      Odbierz darmowe porady od AVG
      O nas

      TrybAwaryjny.pl to strona stworzona specjalnie dla użytkowników antywirusa AVG. Oprócz szeregu porad i artykułów dotyczących bezpieczeństwa, znajdziecie tutaj wszystko to co jest związane z programami AVG w Polsce. Możecie również zadać pytania dotyczące bezpieczeństwa komputerów ekspertom pomocy technicznej AVG.

      Znajdź nas na FB
      Facebook YouTube
      • Polityka prywatności
      • Regulamin
      © 2023 Trybawaryjny.pl

      Wypełnił powyższe pole i naciśnij Enter żeby wyszukać. Naciśnij Esc żeby anulować.

      wpDiscuz
      Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie. Więcej informacji: Polityka prywatności | RegulaminZgoda