Izsiljevalska e-mail sporočila – Spoofing

Ste že kdaj prejeli e-mail sporočilo navidezno poslano iz vašega predala, čeprav ga niste poslali sami? Takšna sporočila pogosto vsebujejo trditve, da so bila gesla, dostop do vašega računa ali zasebne datoteke z računalnika zlorabljene in pridobljene s strani hekerjev. Če vam obenem še grozijo z razpošiljanjem zasebnih podatkov in zahtevajo odkupnino do nekaj 1000 €, izkušnja ni ravno prijetna… 

Verjetno ste se ob prejemu takega sporočila (kopijo primera sporočila najdete na koncu članka) obrnili na prijatelje ali našo ekipo, ki vam je obrazložila, da gre za t.i. spam sporočilo, ki ga lahko preprosto izbrišete.

V nadaljevanju bomo prikazali kako lahko nekdo pošilja sporočila iz (navidezno) vašega e-maila ter kaj lahko storite, da preprečite prejemanje izsiljevalskih sporočil.

Kako je mogoče, da nepridipravi pošljejo sporočilo iz “vašega” e-maila?

Pošiljateljev e-mail naslov je precej enostavno ponarediti. Hekerji z namenom izkazovanja verodostojnosti vpišejo vaš e-mail naslov kot prikazni naslov pošiljatelja, čeprav sporočilo dejansko ni poslano z vaše domene / poštnega predala. Ta metoda se imenuje Spoofing. Vendar pa lahko po kratkem pregledu hitro ugotovite, da ne gre za zlorabo temveč samo za neupravičen poskus pridobivanja denarja.

Z nekaj kliki se lahko prepričate, da je sporočilo prišlo od drugod in ne iz vašega računa. To lahko storite s pregledom glave sporočila oziroma izvirnika.

Na naš e-mail naslov smo poslali testno sporočilo in ponaredili pošiljatelja. Kot pošiljatelja smo navedli info@policija.si. Primer pregleda v odjemalcu Thunderbird:

S klikom na gumb Več in Pokaži vir se nam odprejo podrobni podatki o sporočilu.

Informacija v glavi pokaže, da je sporočilo ponarejeno. Pri tem preglejte dva vnosa, in sicer Received in Reply-to.

Received prikaže iz katere domene je bilo sporočilo poslano: tu ne boste našli svoje domene, temveč drug spletni naslov.

Če želi pošiljatelj prejeti vaš odgovor, mora razkriti svoj pravi naslov. Tega najdete v polju Reply-To. Po pregledu je videti, da sporočilo tako ne bo poslano policiji, ampak nekomu, ki želi pridobiti vaše zaupanje in vas ogoljufati.

Dodatna vrstica, ki jo lahko preverite, vsebuje na začetku Received-SPF. SPF zapis določa, kateri strežniki lahko pošiljajo pošto iz vaše domene. Če je poleg navedeno “softfail” gre za močan znak, da je sporočilo ponarejeno.

Nekaj koristnih povezav:

Ali sporočilo vsebuje vaša gesla?

Nekatera spam sporočila vsebujejo tudi geslo, ki ste ga mogoče uporabljali v preteklosti. Geslo so najverjetneje pridobili pri vdoru v tuje spletne strani ali forume, kjer ste geslo uporabili za prijavo. Zato priporočamo, da ne uporabljate istih gesel za različne aplikacije. Če še vedno uporabljate enako geslo, ga takoj zamenjajte.

Pomembno: Če prejmete sporočila s priponko, le te nikar ne odpirajte, saj verjetno vsebujejo virus, ki okuži vaš računalnik.

Ali lahko preprečimo prejemanje teh sporočil?

Vsak dan na naših strežnikih ustavimo na tisoče sporočil, vendar se prejemanju spam pošte ne da v celoti. Marsikaj lahko naredimo s strožjimi filtri za spam pošto, vklopom DKIM podpisovanja in s pametno uporabo računalnika in interneta. Največjo varnost pred zlonamernimi sporočili nudijo namenske rešitve za zaščito e-pošte, pri nas Hornetsecurity.

V vašem cPanel računu lahko za vašo domeno nastavite strožje pogoje za označevanje spam sporočil ali celo določite, da se spam sporočila avtomatsko izbrišejo. V pomoč so vam lahko navodila na naši podporni strani. A pazljivo: izredno strog spam filter lahko pomotoma izbriše tudi legitimna sporočila.

Izsiljevalska sporočila je možno zajeziti tudi z dodajanjem ključnih besed na t.i. blacklisto. Pri tem velja le opozorilo, da bo sistem zavrnil vsa sporočila z izbrano ključno besedo. Pri ureditvi blackliste si lahko pomagate z našim člankom.

Priporočamo tudi vklop DKIM podpisovanja za vašo domeno. Navodila najdete na naši podporni strani.

V skrbi za nemoteno delo z e-pošto in preprečevanje zlorab poskrbite še, da vaš računalnik ni okužen. Namestite antivirusni program in redno poskrbite za pregled računalnikov. Za poštne predale uporabljajte močnejša gesla in jih občasno tudi zamenjajte. To velja tudi za FTP ali cPanel gesla.

Naša ekipa sistemskih administratorjev intenzivno išče vedno nove rešitve za preprečevanje neželene pošte, pri tem sodelujemo tudi z našimi partnerji iz tujine. Na nas se lahko vedno obrnete tudi v primeru, ko niste prepričani, ali je prejeto sporočilo pravo ali pa gre za spam.

Primer izsiljevalskega sporočila

This account is infected! It will be good idea to change the pswd right now!

You do not know me me and you are most probably wanting to know why you’re getting this electronic message, right?

I’m a hacker who exploited your email box and devices two months ago.

It will be a time wasting to attempt to get in touch with me or try to find me, it is definitely not possible, because I forwarded you this message using YOUR account that I’ve hacked.

I have set up malware soft on the adult videos (porn) site and suppose you have enjoyed this website to enjoy it (you know what I want to say).

When you were watching videos, your internet browser started out functioning like a RDP (Remote Control) having a keylogger which granted me the ability to access your desktop and camera.

Next step, my software programgotall data.

You have put passwords on the web services you visited, and I sniffed them.

Needless to say, you could possibly change each of them, or have already modified them.

Even so it does not matter, my spyware renews information every 5 minutes.

What actually did I do?

I generated a reserve copy of the system. Of each file and contact lists.

I formed a dual-screen video file. The 1 part reveals the video you had been observing (you have got the perfect taste, wow…), and the 2nd part shows the video from your camera.

What actually must you do?

Great, I think, 1000 USD is basically a good price for our very little secret. You will do the payment by bitcoins (if you don’t recognize this, search “how to buy bitcoin” in any search engine).

My bitcoin wallet address:

xxx

(It is cAsE sensitive, so copy and paste it).

Warning:

You will have 2 days to send the payment. (I have an exclusive pixel to this email, and right now I understand that you’ve read through this email).

To monitor the reading of a letter and the activity inside it, I installed a Facebook pixel. Thanks to them. (The stuff that is applied for the authorities may help us.)

In case I fail to get bitcoins, I will immediately offer your video files to all your contacts, such as family members, co-workers, etc?  

Podobni članki