今天來寫一個和程式有點關聯,但和我實際工作沒有關聯的東西,單純覺得身邊的人應該會需要知道這個資訊,就寫一篇文章記錄。剛剛無聊收信的時候,發現自己收到一個用自己信箱寄給自己的信件,標題寫著 You have been hаcked,當下就覺得是詐騙了,工程師可是沒這麼好騙的!!但是很妙的是這次寄件者居然不是看起來詭異的信箱,而是我自己的信箱,當下老實說我還是有那麼幾秒覺得該不會真的被盜用了吧!!但還是冷靜下來先 google 一下,一查就發現了一個關鍵字 「SMTP」。
收到自己信箱寄的信箱被盜警告信!?
詐騙怎麼辦到的?
為什麼詐騙明明沒有真的盜用自己的信箱,卻能用自己的信箱寄了一封信件呢?這是因為詐騙使用了 SMTP 協議進行詐騙信件的寄發, SMTP 協議的全名是 Simple Mail Transfer Protocol,也就即「簡單信件傳輸協議」。而這個協議的特性就如同他的名字,它主要想達到的目的是用簡單的方式寄發信件,以及支援多種應用場景 (例如:信件轉發、系統通知等),因此允許使用者在發送信件的時候,自定義寄件者的信箱內容,也是因為它主要想達到的目的是簡單寄發信件,所以並不考慮安全性,也就是說 SMTP 協議並不會強制去驗證寄件者和收件者資訊的真實性。
該怎麼在這個情況下,驗證自己的信箱是否真的被盜用
1. 第一個方法很簡單,那就是去檢查自己信箱的已傳送紀錄,是不是真的有這一封自己寄給自己的信件紀錄。
2. 透過檢視來源,查看 email header,並且檢查 SPF、DKIM、DMARC、Received 資訊。
- SPF 指的是 Sender Policy Framework,如果是 fail 的話,代表發信伺服器的 IP 地址(104.164.47.196)並不在 hotmail.com 授權的伺服器列表中,也就表這封信件的發送來源是偽造的來源。
- DKIM 指的是 DomainKeys Identified Mail,若為 none,就代表沒有啟用驗證,也就表示信件沒有使用數位簽名來驗證內容是否由合法的寄件者發送,或內容是否被篡改。
- DMARC 是 Domain-based Message Authentication, Reporting, and Conformance,若為 fail,就代表驗證失敗,也就是說這封信件未通過 SPF 或 DKIM 的驗證。
- 從 Recieved 資訊可以看到這封信是從哪個網域來的,域名如果不是 hotmail.com ,那就可以判斷是假冒的信件。
以下內容是我從 outlook 對信件點擊「檢視來源」看到的 mail header 的內容,先來看真的是我自己寄給自己的信件,會是什麼內容。
再來也來觀察一下,詐騙者假冒我名義寄給我自己的信件的 mail header,可以發現到都是正常的 pass。
以上就是這次收到一個很奇特作法的詐騙近信件的相關分享!
最後也提醒大家!遇到奇怪的信件不要太緊張,一定要好好思考這封信件的真偽,最簡單的就是檢查寄件者信箱是不是看起來怪怪的,如果信箱看起來好像是真的,也可以再多透過「檢視來源」的動作來檢查是不是假冒的信箱來源,千萬不要貿然點下信件中的連結或是依照信中要求做匯款的動作。。
貼心小提醒!!
因為是亂亂寫筆記,真的就是純紀錄之前實作時,如何解決曾經卡住過的問題,所以主要都是解決問題的方式為主,不會有太多詳細說明。
留言列表
打工仔人森 (3)
