Содержание
По мере роста числа людей, ежедневно использующих интернет, растет и количество мошенников в этой сфере. Неискушенные пользователи (особенно пожилые люди) могут легко стать их жертвами.
Желающие поживиться за чужой счет действуют под видом сотрудников авторитетных сервисов и организаций, заменяя свой настоящий адрес на фирменный. На почту могут прислать ссылки на вредоносные программы под видом сообщений из банков и рассылок популярных интернет-магазинов.
Вам могут прислать письмо, например, от «Яндекс.Деньги» (или «Киви-Кошелек», «Сбербанк-онлайн» и пр.). Перейдя по ссылке из такого сообщения, вы попадете на поддельный сайт (максимально повторяющий оригинал) и там добровольно отдадите все свои персональные данные (включая пароль). А дальше с ними можно делать все что угодно: переводить и обналичивать деньги, делать покупки онлайн и даже оформлять на ваше имя кредиты в микрофинансовых организациях.
Для того, чтобы не попасться на удочку таких мошенников, необходимо уметь отличать подобные рассылки от настоящих. Как это делать – разберем в нашей статье.
Анатомия электронного письма
Отправляя и получая электронные письма, рядовой пользователь редко задумывается о том, что с этими письмами происходит по пути следования. Доставка осуществляется за считанные секунды, независимо от места нахождения адресата. Мы получаем сообщения, фотографии, видео, полезные ссылки и массу другой информации. Мама высылает рецепты дочери, коллеги друг другу – отчеты и рабочие материалы, банки и кредитные организации – информацию о задолженности, операциях по счету и пр.
Нам кажется, что общение происходит напрямую: из рук в руки. Однако это не совсем так. В процессе отправки и получения, помимо компьютеров отправителя и получателя, принимают участие еще как минимум два почтовых сервера.
Схематично процесс отправки электронного письма выглядит так:
Каждый из них работает по определенным правилам, которые регулируются специальными протоколами: SMTP (Simple Mail Transfer Protocol) – передача почты, POP3 (Post Office Protocol, версия 3) – прием почты или IMAP – доступ к почтовым ящикам, находящимся на почтовом сервере.
Буквально за секунды, которые занимает пересылка вашего письма, почтовые сервисы дополняют его массой информации. Например, мною через Mail.ru было получено вот такое лаконичное письмо (всего на 4 строчки текста) якобы от международной торговой компании Амазон. Почтовый сервер услужливо определил его как спам и отправил в соответствующую папку. Как он пришел к такому решению?
Для того чтобы увидеть информацию, добавляемую почтовыми серверами, необходимо нажать на кнопку «Еще» верхней командной строки:
После этого нажать на нижнюю строчку выпадающего списка под названием «Служебные заголовки»:
В отдельном окне откроется та самая служебная информация, которую добавляют к любому электронному письму почтовые серверы:
Впечатляет? И это все к сообщению на 4 строки! Помимо адреса отправителя и получателя, здесь перечислены даты и время отправки, IP-адрес отправителя, индивидуальный номер сообщения и масса других служебных сведений.
Если вы используете другие почтовые сервисы, то там тоже есть возможность получить необходимую информацию. Например, в другом популярном почтовом сервисе – Gmail – необходимо нажать на три точки в верхнем правом углу (заголовок электронного письма) и далее выбрать строку «Показать оригинал»:
В новом окне можно будет увидеть идентификатор сообщения, от кого и кому направлено письмо.
Чем же нам может быть полезна эта информация? Наиболее ценными из всего этого являются сведения об IP-адресе.
Как найти IP адрес через служебный заголовок письма.
Если вы никогда не сталкивались с понятием IP-адрес – прочитать о нем подробнее можно здесь, здесь или здесь. Зная его, можно получить много ценных сведений об отправителе электронного сообщения. Находим значение IP в тексте служебного заголовка письма:
Поскольку письма могут перенаправляться через несколько серверов, то при наличии нескольких IP в разделе «Служебный заголовок» нужно смотреть тот, который, как правило (но не всегда), расположен ниже других. Необходимое нам цифровое значение должно находится в разделе «Received», тогда как в разделе «From» (нижняя строчка) указан якобы адрес Амазона (именно содержимое данного поля мошенники и подделывают, чтобы выдать себя за кого-то другого).
Если нет желания копаться в служебных заголовках, то еще проще определить IP отправителя через наш сервис: Определение IP адреса по Е-mail.
Порядок действий при этом следующий:
- Открываете сомнительное письмо, адрес которого нужно проверить.
- Пересылаете его на специальный адрес: [email protected].
- Через несколько секунд вносите электронный адрес подозрительного отправителя в окно нашего сервиса.
- Нажимаете кнопку «Проверить»:
Воспользоваться данным сервисом можно через почтовые клиенты, например – через The Bat.
Информация на сервере хранится не более часа, поэтому все действия лучше выполнять в течение этого времени (и отправку письма, и проверку через «Определение IP-адреса по E-mail».
Что делать дальше с полученным IP адресом?
Полученный IP адрес не поможет определить абсолютно точный почтовый адрес отправителя, но укажет регион расположения сервера, организацию, на которую проводилась регистрация, и данные о провайдере.
Для определения местонахождения можно воспользоваться несколькими сервисами. Например, через этот: "Определить месторасположение". По умолчанию он определяет ваше местонахождение.
Вводим в окно поиска IP адрес, который нашли в служебном заголовке или получили через наш сервис «Определение IP-адреса по E-mail» и нажимаем кнопку «Проверить»:
Данные о местонахождении выводятся в виде интерактивной карты с краткой сопроводительной информацией о стране, городе, организации и провайдере интересующего нас IP.
Таким образом выясняется, что «электронный перевод» мне «пытаются» сделать из Швеции, тогда как покупки в Амазоне я делаю исключительно через Великобританию. Такое, конечно, бывает: офисы международных компаний могут находиться в разных странах. Но может и насторожить. Особенно, если точно известно, где находятся представительства фирм, от лица которых вы получаете рассылки. Аналогичную проверку можно провести и при получении странных писем через контакты на сайтах знакомств: пишут якобы из США или Италии, а IP- адрес определяется в Ереване или ближайшем Подмосковье.
О проблемах с данным письмом мне сообщает и почтовый сервер Mail.ru, который не считает этот адрес «одобренным отправителем» и автоматически помещает сообщения от него в папку «Спам». Mail.ru (так же как и другие «почтовики») проводит автоматическое сравнение параметров из полей ««Received» и «From» служебного заголовка и, если они не совпадают – относит такие послания к сомнительным. При переходе по ссылке из такого письма я вместо перевода рискую получить только массу неприятностей.
Аналогичным образом работает и сервис по определению местонахождения по IP адресу под названием Информация об IP адресе или домене.
Для получения сведений нужно ввести цифровое значение IP и нажать на кнопку «Проверить»:
В итоговой выдаче можно увидеть не только регион расположения провайдера и его название, но и контактные данные. При желании можно подать жалобу на спам-рассылку по указанному телефону или почтовому адресу:
Подделка заголовков писем
Как мы видим из разобранного примера, для мошенников не составляет особого труда частично подделать заголовок письма. Довольно часто это практикуется для того, чтобы выдать себя за представителя известной компании или сервиса.
Например, можно выслать вредоносную программу с адреса Яндекса под видом письма от сотрудника службы поддержки:
После открытия раздела «Служебный заголовок» можно выяснить, что реальный адрес отправителя совершенно другой, а письмо пересылалось с использованием других адресов и сервисов.
При этом IP-адрес отправителя находится в Иркутске:
Использующие подобные схемы мошенничества часто подстраиваются под рассылки сервисов онлайн платежей, почтовых служб, банков и кредитных организаций, социальных сетей, популярных служб знакомств и пр.
Будьте бдительны при получении сомнительных писем и научите этому своих пожилых родителей и детей, которые еще не освоили в полной мере тонкости общения в сети. Научите их распознавать основные признаки мошенничества и ни в коем случае не выполнять действий, о которых просят в письме.
Проверяйте, проверяйте и еще раз проверяйте! Тем более, что определить истинный адрес отправителя и сведения о его месторасположении достаточно легко.
Пpосмотpите в вашей почтовый пpогpамме заголовок этого письма. Не путайте заголовок с неполным заголовком, у котоpого есть только "To", "Subject" и "From", а в настояшем (полном) заголовке письма с текстом есть также поля "Received", "Message-Id" и еще некотоpые необходимые данные. В Netscap Mail пpосмотpеть заголовок можно с помощью меню "Document Source". В IE или OutLook — это невозможно. В TheBat, Eudora и многих дpугих это названо аналогоично. Нужное меню можно найти, также, пpосто методом тыка.
Пpимеp письма (с заголовком) , содеpжащее угрозу (или пpосто спам) :
>> From — Sat Jun 06 12:15:07 1998
>> X-POP3-Rcpt: dim@ac
>> Return-Path:
>> Received: from ns by dim (8.8.8/8.8.8) with ESMTP id LAA34528
>> Sat, 6 Jun 1998 11:51:49 +0400
>> Received: from lab.caucasus.net ([209.117.182.2])
>> by ns.ac.neva.ru (8.8.8/8.8.8) with ESMTP id LAA10054
>> for ; Sat, 6 Jun 1998 11:51:48 +0400
>> From: [email protected]
>> Received: from hack.com ([209.117.182.228])
>> by lab.caucasus.net (8.8.5/8.8.5) with SMTP id LAA24875
>> for [email protected]; Sat, 6 Jun 1998 11:48:35 +0500 (GET)
>> Date: Sat, 6 Jun 1998 11:48:35 +0500 (GET)
>> Message-Id:
>> Subject: hi,men how are you doing?
>> To: [email protected]
>> X-Mozilla-Status: 0001
>> Content-Length: 3214
>>
>> I spy with my little eye. LAMERS! The’re all around us! Comming
>> from AOL and Prodigy! AAAAAK! i wish you good week — end.Thanks
Пустая стpока отделяет заголовок письма от текста письма. Текст может быть вообще не узнаваемым ("б’=34=F5=F1=A0") — не обpащайте внимание.
Рассмотpим все поля received в заголовке.
Пеpвое поле:
>> Received: from ns by dim (8.8.8/8.8.8) with ESMTP id LAA34528
>> Sat, 6 Jun 1998 11:51:49 +0400
Втоpое поле:
>> Received: from lab.caucasus.net ([209.117.182.2])
>> by ns.ac.neva.ru (8.8.8/8.8.8) with ESMTP id LAA10054
>> for ; Sat, 6 Jun 1998 11:51:48 +0400
Тpетье поле:
>> Received: from hack.com ([209.117.182.228])
>> by lab.caucasus.net (8.8.5/8.8.5) with SMTP id LAA24875
>> for [email protected]; Sat, 6 Jun 1998 11:48:35 +0500 (GET)
Эти поля стpоятся по шаблону: from AAAAA ([AAAAA_IP]) by BBBBB ([BBBBB_IP]) for а@pес. получателя
Как определить ip-адрес отправителя ?
Узнать IP-адрес отправителя электронного письма с помощью почтового клиента – дело нехитрое. Вот, например, как это делается в популярной Яндекс.Почте. В каждом письме есть ссылка «Свойства письма». Она находится прямо под адресом отправителя. Нажмите на нее, и откроется новая страница со служебной информацией.
В начале страницы вы увидите следующий текст:
Received: from mxfront5g.mail.yandex.net ([127.0.0.1])
by mxfront5g.mail.yandex.net with LMTP id 275qNGQi;
Thu, 7 May 2015 03:43:39 +0300
Received: from google.com (google.com [62.109.6.133])
by mxfront5g.mail.yandex.net (nwsmtp/Yandex) with SMTP id BL0IrHlQZl-hXYSK168;
Thu, 7 May 2015 03:43:37 +0300
IP-адрес отправителя здесь – 62.109.6.133.
Смотрите инструкцию от whoer.net, как за 2 минуты узнать ip адрес отправителя письма в почте yandex:
Определяем ip-адрес отправителя письма mail.ru
Вот как эту же операцию проделать в другом популярном российском почтовике, Mail.ru. Точно так же зайдите в письмо, и вверху вы увидите ряд кнопок. Нажмите на самую последнюю – «Ещё». В открывшемся выпадающем меню выберите «Служебные заголовки». Откроется новая страница с текстовой информацией. Найдите в ней такую же строчку вида:
Received: from google.com (google.com [62.109.6.133])
Нужный вам IP – в квадратных скобках.
Смотрите инструкцию от whoer.net, как за 2 минуты узнать ip адрес отправителя письма в почте mail.ru:
Определяем ip-адрес отправителя письма gmail
А как насчет почтового сервиса Gmail.com? Есть такая функция и здесь. Зайдите в письмо и в правом-верхнем углу письма найдите стрелочку влево, а сразу справа от нее – еще одну маленькую стрелочку вниз. Нажмите на нее, откроется выпадающее меню. Нажмите «Показать оригинал». Точно так же откроется уже привычная нам новая страница со служебной информацией, где вам нужно найти строку, как показано выше.