¿Cómo este correo electrónico enumera a un destinatario falso? [duplicar]

15

Mi amigo recibió recientemente un correo electrónico sospechoso para comprar una tarjeta de regalo de iTunes de "Apple Store" con un encabezado que mostraba una dirección falsa "Para:" para [email protected] .

Fake"a" encabezado

Como era de esperar, resultó ser un correo electrónico de phishing con una dirección sospechosa "De:".

  

De: Apple Store < mystorepaysbills767wf08t7q86tpj1@unpaidpurchaseneedconfirmtocontinue.com>

No pude encontrar ninguna referencia a la dirección de correo electrónico real de mi amigo en el mensaje en sí. He escuchado que los encabezados tienen una dirección de remitente falsa , pero nunca he visto una lista de correo electrónico de un destinatario falso.

¿Cómo podría mi amigo haber recibido este correo electrónico si fue enviado a una dirección de correo electrónico falsa?

    
pregunta Steven M. Vascellaro 27.07.2018 - 16:41
fuente

2 respuestas

26

Cuando el correo se envía a través de SMTP, hay dos lugares diferentes a los que va este tipo de información, la Envolvente (elementos que se configuran con comandos SMTP) y el Encabezado (el primer bloque de texto bajo el comando Datos SMTP, que termina con un linea en blanco). Entonces, por ejemplo, aquí hay una transacción SMTP donde el Sobre no está de acuerdo con los Encabezados. El mensaje se entregará según el Sobre , pero el destinatario verá los encabezados .

mail from: <[email protected]>
250 2.1.0 Ok
rcpt to: <[email protected]>
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
From: "Apple Store" <[email protected]>
To: [email protected]
Subject: We just received your purchase...

Mail body goes here.
.
250 2.0.0 Ok: queued as C5E251FFE2
quit
221 2.0.0 Bye
Connection closed by foreign host.

El destinatario falso va en la línea del encabezado "Para:", pero el correo se entrega de acuerdo con el valor establecido en el comando SMTP "RCPT TO". Y, de hecho, el destinatario ve el encabezado que el atacante quería que viera:

Ahora,hayalgodeproteccióncontraesto.Silediceasuclientedecorreoquedeseaverlosencabezadoscompletos,observaráqueelservidordecorreoinyectóvariosencabezadosquecuentanlaverdaderahistoria:

[email protected]:45:212018Return-Path:<[email protected]>X-Original-To:[email protected]:[email protected]

Pero,porsupuesto,losclientesdecorreosiempreocultanesteniveldedetalledeformapredeterminada,ylainterpretacióncorrectadelosencabezadospuedeserdifícil.Laclavearecordaresquelosservidoreslospreparanamedidaqueavanzan,porloqueelservidorloscolocaenlapartesuperior;sive"Return-Path" en la parte inferior de los encabezados, es probable que el atacante la haya falsificado para intentar desviarlo ... Dado que el mensaje original "datos" contiene encabezados creados por el cliente remitente, pueden poner lo que quieran allí antes de que los servidores comiencen a prepararse.

Según cómo hacerlo -

La primera regla de la falsificación de destinatarios de correo electrónico es, espera que falle miserablemente.

La segunda regla es, use Bcc: para los destinatarios que deseas obtener y Para: para los destinatarios que quieres que se vean. Esta es la forma estándar de hacerlo con un cliente de correo, y generalmente funciona con todo, desde mailx a gmail.

Pero el kilometraje puede variar de forma impredecible. Por ejemplo, si deja Para: en blanco, muchos servidores de correo rellenarán el contenido de Cco: en Para: para compensarlo. Hace 20 años envié spam a miles de "destinatarios ocultos" con las direcciones de cada uno de esa manera, enviando una actualización del concurso a la lista de solicitantes. OOPS.

    
respondido por el gowenfawr 27.07.2018 - 16:47
fuente
3

Esto parece ser el uso del encabezado estándar Bcc . Es muy probable que el mensaje se haya enviado a la dirección To mostrada, pero también a su amigo (y, muy probablemente, a muchas otras personas) utilizando el encabezado Bcc .

Bcc los encabezados solo están en el sobre SMTP , por lo que su cliente de correo no los mostrará de forma predeterminada. (Y, bajo el capó, si hay varios encabezados Bcc , el servidor de envío los divide en varios correos electrónicos separados, por lo que incluso si ve el sobre, verá solo su propia dirección, no la de nadie más. )

    
respondido por el TRiG 27.07.2018 - 18:22
fuente

Lea otras preguntas en las etiquetas