Phenquestions
E-mailová architektura:
Když uživatel pošle e-mail, e-mail nepřijde přímo na poštovní server na konci příjemce; spíše prochází různými poštovními servery.
MUA je program na konci klienta, který se používá ke čtení a psaní e-mailů. Existují různé MUA, jako je Gmail, Outlook atd. Kdykoli MUA odešle zprávu, přejde na MTA, která zprávu dekóduje a identifikuje umístění, které má být odesláno, čtením informací v záhlaví a upraví její záhlaví přidáním dat a poté ji předá MTA na přijímajícím konci. Poslední MTA přítomný těsně před MUA dekóduje zprávu a odešle ji MUA na přijímacím konci. Proto v záhlaví e-mailu najdeme informace o více serverech.
Analýza záhlaví e-mailu:
E-mail forenzní začíná studiem e-mailu záhlaví protože obsahuje obrovské množství informací o e-mailové zprávě. Tato analýza se skládá jak ze studie obsahu, tak z hlavičky e-mailu obsahujícího informace o daném e-mailu. Analýza záhlaví e-mailů pomáhá identifikovat většinu trestných činů souvisejících s e-maily, jako je spear phishing, spam, e-mail spoofing atd. Spoofing je technika, při které lze předstírat, že je někdo jiný, a normální uživatel by si na chvíli myslel, že je to jeho přítel nebo někdo, koho už zná. Jde jen o to, že někdo posílá e-maily ze spoofované e-mailové adresy svého přítele, a nejde o to, že by jeho účet byl napaden.
Analýzou hlaviček e-mailů lze zjistit, zda e-mail, který obdržel, pochází ze spoofed email nebo ze skutečné. Takto vypadá záhlaví e-mailu:
Doručeno: [chráněno e-mailem]Přijato: do roku 2002: a0c: f2c8: 0: 0: 0: 0: 0 s ID SMTP c8csp401046qvm;
St, 29. července 2020 05:51:21 -0700 (PDT)
Přijato X: do roku 2002: a92: 5e1d :: s ID SMTP s29mr19048560ilb.245.1596027080539;
St, 29. července 2020 05:51:20 -0700 (PDT)
Těsnění ARC: i = 1; a = rsa-sha256; t = 1596027080; cv = žádný;
d = google.com; s = oblouk-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Or2Q ==
Podpis zprávy ARC: i = 1; a = rsa-sha256; c = uvolněný / uvolněný; d = google.com; s = oblouk-20160816;
h = to: subject: message-id: date: from: mime-version: dkim-signature;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxQTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
Výsledky ověření ARC: i = 1; mx.Google.com;
dkim = předat záhlaví [chráněné e-mailem].s = 20161025 záhlaví.b = JygmyFja;
spf = projít (google.com: doména [chráněná e-mailem] označuje 209.85.22000 as
povolený odesílatel) [chráněno e-mailem];
dmarc = pass (p = NONE sp = QUARANTINE dis = NONE) záhlaví.from = gmail.com
Zpáteční cesta: <[email protected]>
Přijato: z mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])
podle mx.Google.com s ID SMTPS n84sor2004452iod.19.2020.07.29.00.00.00
pro <[email protected]>
(Google Transport Security);
St, 29. července 2020 05:51:20 -0700 (PDT)
Received-SPF: pass (google.com: doména [chráněná e-mailem] označuje 209.85.000.00
jako povolený odesílatel) client-ip = 209.85.000.00;
Výsledky ověřování: mx.Google.com;
dkim = předat záhlaví [chráněné e-mailem].s = 20161025 záhlaví.b = JygmyFja;
spf = projít (google.com: doména [chráněná e-mailem]
209.85.000.00 jako povolený odesílatel) [chráněno e-mailem];
dmarc = pass (p = NONE sp = QUARANTINE dis = NONE) záhlaví.from = gmail.com
Podpis DKIM: v = 1; a = rsa-sha256; c = uvolněný / uvolněný;
d = gmail.com; s = 20161025;
h = mimická verze: od: datum: id zprávy: předmět: do;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
Podpis X-Google-DKIM: v = 1; a = rsa-sha256; c = uvolněný / uvolněný;
d = 1e100.síť; s = 20161025;
h = x-gm-message-state: mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
Stav zprávy X-Gm: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
Zdroj X-Google-SMTP: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
Přijato X: do roku 2002: a05: 0000: 0b :: s ID SMTP v11mr21571925jao.122.1596027079698;
St, 29. července 2020 05:51:19 -0700 (PDT)
Verze MIME: 1.0
Od: Marcus Stoinis <[email protected]>
Datum: st, 29. července 2020 17:51:03 +0500
ID zprávy: <[email protected]om>
Předmět:
Komu: [chráněno e-mailem]
Typ obsahu: vícedílný / alternativní; boundary = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Typ obsahu: text / prostý; charset = "UTF-8"
Abychom porozuměli informacím v záhlaví, musíme pochopit strukturovanou sadu polí v tabulce.
X - zjevně: Toto pole je užitečné, když je e-mail odeslán více než jednomu příjemci, například bcc nebo e-mailovému seznamu. Toto pole obsahuje adresu NA pole, ale v případě bcc, X-Zřejmě k pole je jiné. Toto pole tedy udává adresu příjemce, přestože je e-mail odesílán buď jako kopie, kopie nebo prostřednictvím nějakého seznamu adres.
Zpáteční cesta: Pole Zpáteční cesta obsahuje poštovní adresu, kterou odesílatel zadal v poli Od.
Přijatý SPF: Toto pole obsahuje doménu, ze které pocházela pošta. V tomto případě jeho
Received-SPF: pass (google.com: doména [chráněná e-mailem] označuje 209.85.000.00 jako povolený odesílatel) client-ip = 209.85.000.00;
Poměr X-spam: Na přijímajícím serveru nebo MUA je software pro filtrování spamu, který vypočítává skóre spamu. Pokud skóre spamu překročí určitý limit, zpráva se automaticky odešle do složky spamu. Několik MUA používá různé názvy polí jako skóre spamu Poměr X-spamu, stav X-spamu, příznak X-spamu, úroveň X-spamu atd.
Přijato: Toto pole obsahuje adresu IP posledního serveru MTA na konci odesílání, který poté odešle e-mail na MTA na konci přijímání. Na některých místech je to vidět pod X vznikl pole.
Záhlaví X-sieve: Toto pole určuje název a verzi systému filtrování zpráv. Jedná se o jazyk používaný k určení podmínek pro filtrování e-mailových zpráv.
Char-sady X-spamu: Toto pole obsahuje informace o znakových sadách používaných k filtrování e-mailů, jako je UTF atd. UTF je dobrá znaková sada, která má schopnost být zpětně kompatibilní s ASCII.
X rozhodnuto: Toto pole obsahuje e-mailovou adresu příjemce, nebo můžeme říci adresu poštovního serveru, na který doručuje MDA odesílatele. Většinou, X-doručeno do, a toto pole obsahuje stejnou adresu.
Výsledky ověřování: Toto pole udává, zda přijatá pošta z dané domény prošla DKIM podpisy a Klíče domény podpis nebo ne. V tomto případě ano.
Výsledky autentizace: mx.Google.com;dkim = předat záhlaví [chráněné e-mailem].s = 20161025 záhlaví.b = JygmyFja;
spf = projít (google.com: doména [chráněná e-mailem]
209.85.000.00 jako povolený odesílatel)
Přijato: První přijaté pole obsahuje informace o trasování, protože IP zařízení odesílá zprávu. Zobrazí se název zařízení a jeho IP adresa. Přesné datum a čas přijetí zprávy lze vidět v tomto poli.
Přijato: z mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])podle mx.Google.com s ID SMTPS n84sor2004452iod.19.2020.07.29.00.00.00
pro <[email protected]>
(Google Transport Security);
St, 29. července 2020 05:51:20 -0700 (PDT)
Do, od a předmět: Pole „Komu“, „od“ a „předmět“ obsahují informace o e-mailové adrese příjemce, e-mailové adrese odesílatele a subjektu uvedeném v době odeslání e-mailu odesílatelem. Pole předmětu je prázdné pro případ, že by to odesílatel nechal tak.
Záhlaví MIME: Pro MUA provést správné dekódování, aby byla zpráva bezpečně odeslána klientovi, MIM kódování přenosu, MIM obsah, jeho verze a délka jsou důležitým tématem.
Verze MIME: 1.0Typ obsahu: text / prostý; charset = "UTF-8"
Typ obsahu: vícedílný / alternativní; boundary = "00000000000023294e05ab94032b"
ID zprávy: ID zprávy obsahuje název domény připojený k jedinečnému číslu odesílajícím serverem.
ID zprávy: <[email protected]om>Vyšetřování serveru:
V tomto typu vyšetřování jsou pro rozlišení zdroje e-mailu prozkoumány duplikáty předávaných zpráv a protokoly pracovníků. I když zákazníci (odesílatelé nebo příjemci) smažou své e-mailové zprávy, které nelze obnovit, mohou být tyto zprávy protokolovány servery (proxy nebo poskytovateli služeb) ve velkých částech. Tyto servery proxy po jejich přenosu ukládají duplikát všech zpráv. Dále mohou být protokoly uchovávané pracovníky koncentrovány, aby sledovaly umístění počítače, který je odpovědný za výměnu e-mailů. V každém případě Proxy nebo ISP ukládají duplikáty e-mailů a protokolů serverů jen po určitou dobu a některé nemusí spolupracovat s forenzními vyšetřovateli. Pracovníci SMTP, kteří ukládají informace, jako je číslo Visa a další informace týkající se vlastníka poštovní schránky, lze dále využít k rozlišení jednotlivců za e-mailovou adresou.
Taktika návnady:
Při vyšetřování tohoto typu e-mail s http: "“ značka s obrazovým zdrojem na jakémkoli PC zkontrolovaném zkoušejícími je odeslána odesílateli vyšetřovaného e-mailu obsahujícího skutečné (autentické) e-mailové adresy. V okamžiku, kdy je e-mail otevřen, je na HTTP server zaznamenána část protokolu obsahující IP adresu toho na přijímajícím konci (odesílatele viníka), ten, který je hostitelem obrazu a v těchto řádcích je odesílatel následoval. V každém případě, pokud osoba na přijímajícím konci používá proxy, pak je sledována IP adresa proxy serveru.
Server proxy obsahuje protokol, který lze dále využít k sledování odesílatele zkoumaného e-mailu. V případě, že je i protokol proxy serveru nepřístupný z důvodu nějakého vysvětlení, v tom okamžiku mohou zkoušející poslat ošklivý e-mail s Vestavěná Java Applet, který běží na počítačovém systému příjemce nebo na Stránka HTML s objektem Active X vypátrat jejich požadovanou osobu.
Vyšetřování síťového zařízení:
Síťová zařízení jako firewally, reuters, switche, modemy atd. obsahují protokoly, které lze použít ke sledování zdroje e-mailu. V tomto typu vyšetřování se tyto protokoly používají k prozkoumání zdroje e-mailové zprávy. Jedná se o velmi složitý typ forenzního vyšetřování a používá se zřídka. Často se používá, když jsou protokoly poskytovatele proxy nebo poskytovatele ISP nedostupné z nějakého důvodu, jako je nedostatek údržby, lenost nebo nedostatek podpory od poskytovatele ISP.
Softwarové integrované identifikátory:
Některá data o skladateli záznamů nebo archivů spojených s e-mailem mohou být do zprávy začleněna e-mailovým softwarem využívaným odesílatelem pro psaní pošty. Tato data si lze pamatovat pro typ vlastních záhlaví nebo jako obsah MIME jako formát TNE. Zkoumání e-mailu pro tyto jemnosti může odhalit některá důležitá data o předvolbách e-mailu odesílatelů a možnostech, které by mohly podporovat shromažďování důkazů na straně klienta. Zkouška může odhalit názvy dokumentů PST, MAC adresu atd. Na zákaznickém počítači použitém k odesílání e-mailových zpráv.
Analýza přílohy:
Mezi viry a malwarem se většina z nich odesílá prostřednictvím e-mailových připojení. Zkoumání příloh e-mailů je naléhavé a zásadní při jakékoli zkoušce týkající se e-mailu. Únik soukromých dat je další významnou oblastí zkoumání. Existuje software a nástroje přístupné k získání informací souvisejících s e-maily, například přílohy z pevných disků počítačového systému. Pro zkoumání pochybných připojení vyšetřovatelé nahrají přílohy do online karantény, například VirusTotal, aby zkontrolovali, zda je dokument malware nebo ne. Ať je to jakkoli, je rozhodující pro správu v horní části seznamu priorit, že bez ohledu na to, zda záznam projde hodnocením, například VirusTotal, nejde o záruku, že je zcela chráněn. Pokud k tomu dojde, je chytrý nápad prozkoumat záznam dále v karanténě, například na kukačce.
Otisky prstů odesílatele:
Při zkoumání Přijato v záhlaví lze identifikovat software, který se stará o e-maily na konci serveru. Na druhou stranu po prozkoumání X-mailer lze identifikovat software, který se stará o e-maily na konci klienta. Tato pole záhlaví zobrazují software a jeho verze použité na konci klienta k odeslání e-mailu. Tato data o klientském PC odesílatele mohou být použita k tomu, aby pomohla zkoušejícím při formulování silné strategie, a proto tyto řádky končí jako velmi cenné.
Nástroje e-mailové forenzní analýzy:
V posledním desetiletí bylo vytvořeno několik e-mailových nástrojů nebo softwaru pro vyšetřování místa činu. Většina nástrojů však byla vytvořena izolovaným způsobem. Kromě toho by většina z těchto nástrojů neměla řešit konkrétní problém související s digitálními nebo počítačovými proviněními. Místo toho se plánuje hledat nebo obnovit data. Pro usnadnění práce vyšetřovatele došlo ke zdokonalení forenzních nástrojů a na internetu je k dispozici řada úžasných nástrojů. Některé nástroje používané pro e-mailovou forenzní analýzu jsou uvedeny níže:
EmailTrackerPro:
EmailTrackerPro vyšetřuje záhlaví e-mailové zprávy, aby rozpoznala IP adresu zařízení, které zprávu odeslalo, aby bylo možné najít odesílatele. Může sledovat různé zprávy současně a efektivně je sledovat. Umístění IP adres je klíčovým údajem pro rozhodování o úrovni nebezpečí nebo legitimitě e-mailové zprávy. Tento úžasný nástroj se může držet města, ze kterého e-mail s největší pravděpodobností pochází. Rozpoznává ISP odesílatele a poskytuje kontaktní údaje pro další zkoumání. Skutečný způsob, jak zjistit adresu IP odesílatele, je uveden v tabulce řízení, což poskytuje další údaje o oblasti, které vám pomohou rozhodnout o skutečné oblasti odesílatele. Prvek hlášení zneužití v něm lze velmi dobře využít k zjednodušení dalšího zkoumání. Z důvodu ochrany před nevyžádanou poštou kontroluje a ověřuje e-maily proti černým listinám nevyžádané pošty, například Spamcops. Podporuje různé jazyky včetně filtrů spamu v japonštině, ruštině a čínštině spolu s angličtinou. Významným prvkem tohoto nástroje je odhalení zneužití, které může vytvořit zprávu, kterou lze odeslat poskytovateli služeb (ISP) odesílatele. ISP pak může najít způsob, jak najít držitele účtu a pomoci vypnout spam.
Xtraxtor:
Tento úžasný nástroj Xtraxtor je vytvořen za účelem oddělení e-mailových adres, telefonních čísel a zpráv z různých formátů souborů. Přirozeně rozlišuje výchozí oblast a rychle pro vás prozkoumá e-mailové informace. Klienti to zvládnou bez větších roztažení e-mailových adres ze zpráv a dokonce i z příloh souborů. Xtraxtor obnovuje vymazané a neodstraněné zprávy z mnoha konfigurací poštovních schránek a poštovních účtů IMAP. Kromě toho má rozhraní, které se snadno naučí, a funkci dobré asistence, která usnadní činnost uživatele, a ušetří spoustu času díky rychlému e-mailu, přípravě funkcí motoru a odstraňování dabingu. Xtraxtor je kompatibilní se soubory MBOX v systému Mac a systémy Linux a může poskytovat výkonné funkce pro vyhledání příslušných informací.
Advik (nástroj pro zálohování e-mailů):
Advik, nástroj pro zálohování e-mailů, je velmi dobrý nástroj, který se používá k přenosu nebo exportu všech e-mailů z poštovní schránky, včetně všech složek, jako jsou odeslané, koncepty, doručené pošty, spam atd. Uživatel si může stáhnout zálohu libovolného e-mailového účtu bez velkého úsilí. Převod zálohování e-mailů do různých formátů souborů je další skvělou funkcí tohoto úžasného nástroje. Jeho hlavním rysem je Rozšířený filtr. Tato možnost může ušetřit obrovské množství času exportem zpráv o naší potřebě ze schránky v žádném okamžiku. IMAP Tato funkce umožňuje načíst e-maily z cloudových úložišť a lze ji použít se všemi poskytovateli e-mailových služeb. Advik lze použít k ukládání záloh našeho požadovaného umístění a podporuje více jazyků spolu s angličtinou, včetně japonštiny, španělštiny a francouzštiny.
Systools MailXaminer:
S pomocí tohoto nástroje má klient povoleno měnit své lovecké kanály v závislosti na situaci. Poskytuje klientům alternativu nahlédnout do vnitřních zpráv a připojení. A co víc, tento forenzní e-mailový nástroj navíc nabízí komplexní pomoc při vědeckém e-mailovém zkoumání pracovní oblasti a správy elektronických e-mailů. Umožňuje zkoušejícím řešit legitimním způsobem více než jeden případ. Podobně s pomocí tohoto nástroje pro analýzu e-mailů mohou specialisté dokonce zobrazit podrobnosti chatu, provést zkoušku hovoru a zobrazit podrobnosti zprávy mezi různými klienty aplikace Skype. Hlavními rysy tohoto softwaru je, že podporuje více jazyků spolu s angličtinou, včetně japonštiny, španělštiny a francouzštiny a čínštiny, a formát, ve kterém získává zpět odstraněné e-maily, je přijatelný soudem. Poskytuje pohled Správa protokolů, ve kterém je zobrazen dobrý pohled na všechny aktivity. Systools MailXaminer je kompatibilní s dd, e01, zip a mnoho dalších formátů.
Stížnost:
Existuje nástroj s názvem Stěžovat si který se používá pro hlášení komerčních e-mailů a příspěvků botnetů a také reklam jako „rychle vydělejte peníze“, „rychlé peníze“ atd. Adcomplain sám provede analýzu záhlaví u odesílatele e-mailu po identifikaci takové pošty a nahlásí ji poskytovateli ISP odesílatele.
Závěr:
E-mailem používá téměř každý člověk využívající internetové služby po celém světě. Podvodníci a kyberzločinci mohou falšovat záhlaví e-mailů a anonymně odesílat e-maily se škodlivým obsahem a obsahem podvodu, což může vést ke kompromisům dat a hackerům. A právě to zvyšuje důležitost e-mailového forenzního zkoumání. Kyberzločinci používají několik způsobů a technik, aby lhali o své totožnosti, například:
- Spoofing:
Aby špatní lidé skryli svou vlastní identitu, vytvořili záhlaví e-mailu a vyplnili jej nesprávnými informacemi. Když se spoofing e-mailů kombinuje s spoofingem IP, je velmi obtížné vysledovat skutečnou osobu, která za tím stojí.
- Neoprávněné sítě:
Sítě, které jsou již ohroženy (včetně kabelových i bezdrátových), se používají k odesílání nevyžádaných e-mailů ke skrytí identity.
- Otevřít poštovní relé:
Chybně nakonfigurované předávání pošty přijímá e-maily ze všech počítačů, včetně těch, ze kterých by neměl přijímat. Poté ji předá jinému systému, který by také měl přijímat poštu z konkrétních počítačů. Tento typ poštovního přenosu se nazývá otevřený poštovní přenos. Tento druh přenosu používají podvodníci a hackeři ke skrytí své identity.
- Otevřít proxy:
Stroj, který umožňuje uživatelům nebo počítačům připojit se k nim k jiným počítačovým systémům, se nazývá a proxy server. Existují různé typy proxy serverů, jako je podnikový proxy server, transparentní proxy server atd. v závislosti na typu anonymity, kterou poskytují. Otevřený proxy server nesleduje záznamy o aktivitách uživatelů a neudržuje protokoly, na rozdíl od jiných serverů proxy, které udržují záznamy o aktivitách uživatelů se správnými časovými razítky. Tyto druhy serverů proxy (otevřené servery proxy) poskytují anonymitu a soukromí, které jsou cenné pro podvodníka nebo špatnou osobu.
- Anonymizátoři:
Anonymizátoři nebo redaktoři jsou weby, které fungují pod záminkou ochrany soukromí uživatele na internetu a anonymizují je záměrným vypuštěním hlaviček z e-mailu a neudržováním protokolů serveru.
- SSH tunel:
Tunel na internetu znamená bezpečnou cestu pro data cestující v nedůvěryhodné síti. Tunelování lze provádět různými způsoby, které závisí na použitém softwaru a technice. Pomocí funkce SSH lze navázat tunelování přesměrování portů SSH a vytvořit šifrovaný tunel, který používá připojení protokolu SSH. Podvodníci používají tunelování SSH při odesílání e-mailů ke skrytí své identity.
- Botnety:
Termín bot získaný od „ro-bot“ v jeho konvenční struktuře se používá k vykreslení obsahu nebo sady obsahu nebo programu určeného k provádění předdefinovaných prací znovu a znovu a následně v důsledku úmyslné aktivace nebo infekce systému. I přes to, že roboti začali jako užitečný prvek při šíření bezútěšných a zdlouhavých činností, přesto jsou zneužíváni ke škodlivým účelům. Boti, kteří se používají k dokončení skutečných cvičení mechanizovaným způsobem, se nazývají laskaví roboti a ti, kteří jsou určeni pro maligní účel, se nazývají škodliví roboti. Botnet je systém robotů omezený botmasterem. Botmaster může nařídit svým kontrolovaným robotům (maligním robotům) běžícím na podkopaných počítačích po celém světě, aby posílali e-maily na některá přidělená místa, zatímco maskují jeho charakter a dopouštějí se e-mailového podvodu nebo e-mailového podvodu.
- Nelze sledovat připojení k internetu:
Internetová kavárna, univerzitní kampus, různé organizace poskytují přístup k internetu uživatelům sdílením internetu. V tomto případě, pokud není udržován správný protokol aktivit uživatelů, je velmi snadné provádět nelegální aktivity a e-mailové podvody a dostat se z toho.
E-mailová forenzní analýza se používá k vyhledání skutečného odesílatele a příjemce e-mailu, data a času jeho přijetí a informací o zprostředkujících zařízeních zapojených do doručení zprávy. K dispozici jsou také různé nástroje pro urychlení úkolů a snadné vyhledání požadovaných klíčových slov. Tyto nástroje analyzují záhlaví e-mailů a poskytují forenznímu vyšetřovateli požadovaný výsledek v žádném okamžiku.
