Kinek áll érdekében és mi a célja vele? Ha választadunk e két kérdésre, meglesz az elkövető is. Érdekes, hogy ukrán IP-címen keresztül orosz emailszolgáltatóhoz vezetnek a nyomok, de ne prejudikáljunk és ne gyártsunk konteókat. A harcos@coredp.com emailcímről küldték ki a coredp.com domainről. A tempm.com domain MX rekordja, a mögötte álló emailszerver IP-címe, a 91.196.52.205 a PP KOM i TEX, azaz a Komitex nevű ukrán internetszolgáltatóhoz tartozik. Magyarul ezt az eldobható emailcímet egy olyan oldalon hozták létre, amelynek a levélküldő szolgáltatása Ukrajnából működik: (Tehát ott van a hunyó!!!)Az eldobható emailcímeket kínáló oldal mögött ukrán levelezőszerver, (Ez nem vall profira!!!) de ez az email nem a harcos@coredp.com, hanem a harcos@mrdmn.com címről érkezett, amelyet az email-fake.com oldalon hoztak létre, de emögött ugyanaz az ukrán emailszerver áll, mint a másik cím létrehozásához használt szolgáltató mögött, a kettő gyakorlatilag ugyanaz. (Nem az használta aki létrehozta!!!) A fejlécben az is látható, hogy bár a küldőnél az eldobható emailcím szerepel, az emailt a Yandex nevű orosz cég levélküldő szolgáltatásán keresztül küldték. (Ez a félrevezetés, hogy az oroszokra kenjék!!!!) Illetve az útvonalban a yandex.az cím is látható, ami azerbajdzsáni domainnév: (ezzel be akar vinni az erdőbe) az coredp.com-os fiók itt, míg az mrdmn.com-os itt található. Az újabb levelek már magyar címekről, érkezhettek. (Kilóg a lóláb!!!!) Logikus lépés az lehetne, hogy a magyar hatóságok megkeresik a Yandexet, hogy a cég segítsen az emailek mögött álló fiók tulajdonosának azonosításában. Egyébként Bulgáriában csehországban és szlovákiában is volt ilyen. Napjainkban sokszor kapunk olyan emaileket, amiknél nem lehetünk biztosak a feladó személyazonosságában. A spammelők gyakran nyilvános SMTP szervereket használnak, így más domain címét használhatják. Nézzük meg, hogy hogyan tudjuk kideríteni, hogy milyen IP címről érkezett a levél és kihez tartozik. Minden email rendelkezik egy fejléccel, amit a levelezőprogramok elrejtenek, mert rontanák a felhasználói élményt, ennek ellenére szinte minden kliensből el lehet érni őket. Ez a fejléc tartalmazza azokat a fontos információkat, aminek segítségével be lehet azonosítani, hogy ki küldte a levelet és kinek (mint a postai címzés). Ha kliensünkön keresztül megnyitjuk a levél forrását, akkor láthatjuk, hogy jó sok információt rejt. A fejlécben találunk néhány olyan sort, ami "Received: from" -al kezdődik és egy IP címmel folytatódik. Például: Received: from teela.qwert.com (63.50.182.07) by mail1.aol.com with SMTP; 30 Jun 2017 02:27:02 -0000 Ezeket a sorokat a levelező szerver illeszti a fejrészbe, mikor továbbítja a levelet. Ha csak egy ilyen sort találunk egy IP-vel, akkor szinte biztosak lehetünk benne, hogy az IP cím a feladóhoz tartozik. Ha több received: from sort találunk a fejlécben, annak az lehet az oka, hogy több levelező szerveren keresztül küldték a mailt és mindegyik hozzátette a maga információit. Előfordulhat, hogy a spammerek további received: from információt helyeznek el a levélben, így próbálják elrejteni a kilétüket.(Ez a dezinformáció) Ha nem nem manipulálták a fejlécet akkor az utolsó received: from információ tárolja a küldő IP címét. Ha hamisítják a fejlécet, akkor végig kell vennünk, hogy milyen szervereken keresztül érkezett az üzenet, amelyek egy láncot alkotnak, ha megtaláljuk a hamisított adatot, akkor a felette elhelyezkedő IP lesz a valódi. Ha megvan az IP cím, akkor keressünk egy IP keresőt a weben, pl ezt(http://whatismyipaddress.com/ip-lookup) és már láthatjuk is, hogy kihez tartozik és hol található. Közismert még a https://whatismyipaddress.com/ip-lookup és a https://www.whois.com/whois/ vagy az https://who.is/ vagy az https://lookup.icann.org/en stb. A sajátunkat is megnézhetjük; https://whatismyipaddress.com/ Nyomkövetés; https://whatismyipaddress.com/trace-email
Az IP header lényeges mezői;
- Version: Az IP verziószáma.
- IHL: A header fejléchossza nem állandó.
- DSCP: szolgáltatási minőség
- ECN: Megjelöli a csomagot torlódás esetén,
de nem dobja el. Torlódás jelzése
- Total Length: A csomag teljes hossza
- Identification: Ennek az azonosítónak a
segítségével lehet a szétdarabolt csomagokat összerakni.
Minden csomagnak egyedi azonosítója van.
- Flags: Több flag található itt, például a DF
beállításával megtiltható az üzenet darabolása.
MF: az üzenet több részből áll.
- Fragment Offset: Megadja, hogy a feldarabolt
üzenet hol kezdődik a csomagban.
- Time To Live: Élettartam, egy csomagnak
mekkora az élettartama.
- Protocol: Csomagban milyen protokoll található.
- Header Checksum: Ellenőrző összeg, csak
a fejlécre számolják (RFC 1071).
- Source IP Address: A forrás IP címe.
- Destination IP Address: A cél IP címe.
Ha megnyitod a levelet, majd az "Eredeti megjelenítése" -re klikkelsz
Return-Path: <******* @gmail.com>
Received-SPF: pass (google.com: domain of *******@gmail.com designates 10.50.153.194 as permitted sender) client-ip=10.50.153.194
Authentication-Results: mr.google.com;
spf=pass (google.com: domain of *******@gmail.com designates 10.50.153.194 as permitted sender) smtp.mail=*******@gmail.com;
dkim=pass header.i=@gmail.com
X-Received: from mr.google.com ([10.50.153.194
*******=a feladó e-mail címének az eleje!
Lebuktál kispajtás!
Itt lakik az elkövető; Ukrajna Lviv (Lemberg) Slovats koho St 5. Az üzlet és a posta közötti ház.
5 Slovats'koho St
Lviv, Lemberg
Ilyen egyszerű!
Nincsenek megjegyzések:
Megjegyzés küldése