Mon ami a récemment reçu un e-mail suspect pour un achat de carte-cadeau iTunes de "Apple Store" avec un en-tête qui affiche une fausse adresse "À:" pour [email protected]
.
Sans surprise, cela s'est avéré être n e-mail de phishing avec une adresse suspecte "De:".
De: Apple Store <mystorepaysbills767wf08t7q86tpj1@unpaidpurchaseneedconfirmtocontinue.com>
Je n'ai trouvé aucune référence à la véritable adresse e-mail de mon ami dans le message lui-même. J'ai entendu parler d'en-têtes ayant ne fausse adresse d'expéditeur , mais je n'ai jamais vu de liste de diffusion contenant un faux destinataire.
Comment mon ami aurait-il pu recevoir cet e-mail s'il avait été envoyé à une fausse adresse e-mail?
Lorsque le courrier est envoyé via SMTP, il existe deux endroits distincts pour ce type d'informations, l'enveloppe (les éléments définis avec les commandes SMTP) et l'en-tête (le premier bloc de texte sous la commande SMTP Data, se terminant par une ligne vierge) . Ainsi, par exemple, voici une transaction SMTP où l'enveloppe n'est pas d'accord avec les en-têtes. Le message sera livré par l'enveloppe, mais le destinataire verra les en-têtes.
mail from: <[email protected]>
250 2.1.0 Ok
rcpt to: <[email protected]>
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
From: "Apple Store" <[email protected]>
To: [email protected]
Subject: We just received your purchase...
Mail body goes here.
.
250 2.0.0 Ok: queued as C5E251FFE2
quit
221 2.0.0 Bye
Connection closed by foreign Host.
Le faux destinataire va dans la ligne d'en-tête "To:", mais le courrier est remis selon la valeur définie dans la commande SMTP "RCPT TO". Et en effet, le destinataire voit l'en-tête que l'attaquant voulait qu'ils voient:
Maintenant, il y a une certaine protection contre cela. Si vous dites à votre client de messagerie que vous souhaitez afficher les en-têtes de messagerie complets, vous remarquerez que le serveur de messagerie a injecté plusieurs en-têtes qui racontent la véritable histoire:
From [email protected] Fri Jul 27 14:45:21 2018
Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]
Mais, bien sûr, les clients de messagerie masquent toujours ce niveau de détail par défaut, et interpréter correctement les en-têtes peut être difficile. La clé à retenir est qu'ils sont ajoutés par les serveurs au fur et à mesure, donc ceux que le haut est mis par votre serveur; si vous voyez "Return-Path" dans le bas des en-têtes, il est probable que l'attaquant ait falsifié pour essayer de vous mal orienter ... Puisque le message d'origine 'data' contient des en-têtes conçus par l'envoi client, ils peuvent y mettre tout ce qu'ils veulent avant que les serveurs ne commencent à ajouter.
Selon comment le faire -
La première règle de la falsification de destinataire de courrier électronique est de s'attendre à ce qu'elle échoue lamentablement.
La deuxième règle est, utilisez Cci: pour les destinataires que vous souhaitez obtenir, et Pour: pour les destinataires que vous souhaitez voir apparaître. C'est la façon standard de le faire avec un client de messagerie, et en général fonctionne avec tout, de mailx à gmail.
Mais le kilométrage peut varier de façon imprévisible. Par exemple, si vous laissez À: vide, de nombreux serveurs de messagerie remplissent le contenu de Cci: dans À: pour compenser cela. Il y a 20 ans, j'ai spammé des milliers de "destinataires cachés" avec les adresses des uns et des autres, envoyant une mise à jour du concours à la liste des candidats. OOPS.
Cela ressemble à l'utilisation de l'en-tête Bcc
standard. Le message a très probablement été envoyé à l'adresse To
affichée, mais aussi à votre ami (et, très probablement, à de nombreuses autres personnes) en utilisant l'en-tête Bcc
.
Bcc
les en-têtes sont uniquement dans enveloppe SMTP , donc votre client de messagerie ne les affichera pas par défaut. (Et, sous le capot, s'il y a plusieurs en-têtes Bcc
, il est divisé par le serveur d'envoi en plusieurs e-mails distincts, donc même si vous affichez l'enveloppe, vous ne verrez que votre propre adresse, pas quelqu'un d'autre.)