Phenquestions
E-mailová architektúra:
Keď používateľ pošle e-mail, e-mail nejde priamo na poštový server na konci príjemcu; skôr prechádza rôznymi poštovými servermi.
MUA je program na konci klienta, ktorý sa používa na čítanie a písanie e-mailov. Existujú rôzne MUA, ako sú Gmail, Outlook atď. Kedykoľvek MUA pošle správu, ide do MTA, ktorá správu dekóduje a identifikuje miesto, ktoré má byť odoslané, načítaním informácií v záhlaví a upraví svoju záhlavie pridaním údajov a potom ju odovzdá MTA na prijímajúcom konci. Posledný MTA prítomný tesne pred MUA dekóduje správu a odošle ju na MUA na konci prijímania. Preto v hlavičke e-mailu nájdeme informácie o viacerých serveroch.
Analýza hlavičky e-mailu:
E-mail forenznej začína štúdiom e-mailu hlavička pretože obsahuje obrovské množstvo informácií o e-mailovej správe. Táto analýza spočíva v štúdiu tela obsahu a hlavičky e-mailu s informáciami o danom e-maile. Analýza hlavičky e-mailu pomáha pri identifikácii väčšiny e-mailových trestných činov, ako je spear phishing, spam, e-mail spoofing atď. Spoofing je technika, pri ktorej sa dá vydávať za niekoho iného a bežný používateľ by si na chvíľu myslel, že je to jeho priateľ alebo osoba, ktorú už pozná. Je to len tak, že niekto posiela e-maily zo spoofovanej e-mailovej adresy svojho priateľa, a nejde o to, že jeho účet bol napadnutý hackerom.
Analýzou hlavičiek e-mailov možno zistiť, či e-mail, ktorý dostal, pochádza zo sfalšovanej e-mailovej adresy alebo zo skutočnej. Takto vyzerá hlavička e-mailu:
Doručené: [chránené e-mailom]Prijaté: do roku 2002: a0c: f2c8: 0: 0: 0: 0: 0 s identifikátorom SMTP c8csp401046qvm;
St, 29. júla 2020 05:51:21 -0700 (PDT)
Prijaté X: do roku 2002: a92: 5e1d :: s ID SMTP s29mr19048560ilb.245.1596027080539;
St, 29. júla 2020 05:51:20 -0700 (PDT)
Tesnenie ARC: i = 1; a = rsa-sha256; t = 1596027080; cv = žiadny;
d = google.com; s = oblúk-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Or2Q ==
Podpis správy ARC: i = 1; a = rsa-sha256; c = uvoľnená / uvoľnená; d = google.com; s = oblúk-20160816;
h = to: subject: message-id: date: from: mime-version: dkim-signature;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxQTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
Výsledky overenia pomocou ARC: i = 1; mx.google.com;
dkim = odovzdať [chránený e-mailom] hlavičku.s = 20161025 hlavička.b = JygmyFja;
spf = prejsť (google.com: doména [chránená e-mailom] označuje 209.85.22000 ako
povolený odosielateľ) [chránený e-mailom];
dmarc = pass (p = NONE SP = QUARANTINE dis = NONE) hlavička.from = gmail.com
Spiatočná cesta: <[email protected]>
Prijaté: z mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])
od mx.google.com s ID SMTPS n84sor2004452iod.19.2020.07.29.00.00.00
pre <[email protected]>
(Google Transport Security);
St, 29. júla 2020 05:51:20 -0700 (PDT)
Prijaté-SPF: prejsť (google.com: doména [chránená e-mailom] označuje 209.85.000.00
ako povolený odosielateľ) client-ip = 209.85.000.00;
Výsledky overenia: mx.google.com;
dkim = odovzdať [chránený e-mailom] hlavičku.s = 20161025 hlavička.b = JygmyFja;
spf = prejsť (google.com: doména [chránených e-mailom]
209.85.000.00 ako povolený odosielateľ) [chránený e-mailom];
dmarc = pass (p = NONE SP = QUARANTINE dis = NONE) hlavička.from = gmail.com
Podpis DKIM: v = 1; a = rsa-sha256; c = uvoľnená / uvoľnená;
d = gmail.com; s = 20161025;
h = mimická verzia: od: dátum: id správy: predmet: do;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
Podpis X-Google-DKIM: v = 1; a = rsa-sha256; c = uvoľnená / uvoľnená;
d = 1e100.sieť; s = 20161025;
h = x-gm-message-state: mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
Stav správy X-Gm: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
Zdroj X-Google-SMTP: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
Prijaté X: do roku 2002: a05: 0000: 0b :: s ID SMTP v11mr21571925jao.122.1596027079698;
St, 29. júla 2020 05:51:19 -0700 (PDT)
Verzia MIME: 1.0
Od: Marcus Stoinis <[email protected]>
Dátum: st, 29. júla 2020 17:51:03 +0500
ID správy: <[email protected]om>
Predmet:
Komu: [chránené e-mailom]
Typ obsahu: viacdielny / alternatívny; boundary = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Typ obsahu: text / obyčajný; charset = "UTF-8"
Aby sme porozumeli informáciám o hlavičke, je potrebné porozumieť štruktúrovanej množine polí v tabuľke.
X - zrejme: Toto pole je užitočné, keď je e-mail odoslaný viac než jednému príjemcovi, ako napríklad kópia kópie alebo zoznam adresátov. Toto pole obsahuje adresu TO pole, ale v prípade bcc, X-Podľa všetkého pole je iné. Toto pole teda udáva adresu príjemcu napriek tomu, že e-mail je odoslaný buď ako kópia, kópia alebo iná konferencia.
Spiatočná cesta: Pole Návratová cesta obsahuje poštovú adresu, ktorú odosielateľ uviedol v poli Od.
Prijatý SPF: Toto pole obsahuje doménu, z ktorej pošta pochádza. V tomto prípade jeho
Prijaté-SPF: prejsť (google.com: doména [chránená e-mailom] označuje 209.85.000.00 ako povolený odosielateľ) client-ip = 209.85.000.00;
Pomer X-spam: Na prijímajúcom serveri alebo MUA je softvér na filtrovanie spamu, ktorý počíta skóre spamu. Ak skóre spamu presahuje určitý limit, správa sa automaticky odošle do priečinka spam. Niekoľko MUA používa rôzne názvy polí pre skóre spamu ako Pomer X-spam, stav X-spamu, vlajka X-spamu, úroveň X-spamu atď.
Prijaté: Toto pole obsahuje adresu IP posledného servera MTA na konci odosielania, ktorý potom odošle e-mail na MTA na konci prijímania. Na niektorých miestach je to vidieť pod X vzniklo do lúka.
Hlavička X-sita: Toto pole určuje názov a verziu systému filtrovania správ. Týka sa to jazyka použitého na určenie podmienok filtrovania e-mailových správ.
Charsety X-spam: Toto pole obsahuje informácie o znakových sadách používaných na filtrovanie e-mailov, ako sú UTF atď. UTF je dobrá znaková sada, ktorá má schopnosť spätnej kompatibility s ASCII.
X-odhodlané: Toto pole obsahuje e-mailovú adresu príjemcu alebo môžeme povedať adresu poštového servera, na ktorý doručuje MDA odosielateľa. Väčšinou, X-doručené do, a toto pole obsahuje rovnakú adresu.
Výsledky overenia: Toto pole informuje o tom, či prijatá pošta z danej domény prešla DKIM podpisy a Kľúče domény podpis alebo nie. V takom prípade áno.
Výsledky overenia: mx.google.com;dkim = odovzdať [chránený e-mailom] hlavičku.s = 20161025 hlavička.b = JygmyFja;
spf = prejsť (google.com: doména [chránených e-mailom]
209.85.000.00 ako povolený odosielateľ)
Prijaté: Prvé prijaté pole obsahuje informácie o sledovaní, pretože IP zo zariadenia odošle správu. Zobrazí sa názov zariadenia a jeho adresa IP. V tomto poli je uvedený presný dátum a čas prijatia správy.
Prijaté: z mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])od mx.google.com s ID SMTPS n84sor2004452iod.19.2020.07.29.00.00.00
pre <[email protected]>
(Google Transport Security);
St, 29. júla 2020 05:51:20 -0700 (PDT)
Do, z a predmet: Polia „Komu“, „od“ a „predmet“ obsahujú informácie o e-mailovej adrese príjemcu, e-mailovej adrese odosielateľa a predmete uvedenom v čase odoslania e-mailu odosielateľom. Pole predmetu je prázdne pre prípad, že to odosielateľ nechá tak.
Hlavičky MIME: Pre MUA vykonať správne dekódovanie, aby sa správa bezpečne odoslala klientovi, MIME kódovanie prenosu, MIME obsah, jeho verzia a dĺžka sú dôležitým predmetom.
Verzia MIME: 1.0Typ obsahu: text / obyčajný; charset = "UTF-8"
Typ obsahu: viacdielny / alternatívny; boundary = "00000000000023294e05ab94032b"
ID správy: ID správy obsahuje názov domény pripojený k jedinečnému číslu odosielajúcim serverom.
ID správy: <[email protected]om>Vyšetrovanie servera:
Pri tomto type vyšetrovania sa skúmajú duplikáty doručených správ a protokoly pracovníkov, aby sa rozlíšil zdroj e-mailu. Aj keď zákazníci (odosielatelia alebo príjemcovia) odstránia svoje e-mailové správy, ktoré sa nedajú obnoviť, tieto správy môžu byť servermi (proxy alebo poskytovatelia služieb) zaznamenané vo veľkých porciách. Tieto servery proxy po ich prenose ukladajú duplikát všetkých správ. Ďalej môžu byť protokoly vedené zamestnancami koncentrované, aby sledovali umiestnenie počítača zodpovedného za uskutočnenie výmeny e-mailov. V každom prípade Proxy alebo ISP ukladajú duplikáty e-mailových správ a protokolov serverov iba na určité časové obdobie a niektoré nemusia spolupracovať so súdnymi vyšetrovateľmi. Ďalej môžu pracovníci SMTP, ktorí ukladajú informácie, ako je číslo víza, a ďalšie informácie týkajúce sa vlastníka poštovej schránky, slúžiť na rozlíšenie jednotlivcov za e-mailovou adresou.
Taktika návnad:
Pri vyšetrovaní tohto typu e-mail s http: „“ značka s zdrojom obrázka na ľubovoľnom počítači skontrolovanom skúšajúcimi sa odošle odosielateľovi vyšetrovaného e-mailu, ktorý obsahuje skutočné (autentické) e-mailové adresy. V okamihu, keď je e-mail otvorený, sa na server HTTP zaznamená časť protokolu, ktorá obsahuje adresu IP príjemcu (odosielateľ vinníka), ten, ktorý je hostiteľom obrázka, a v tomto zmysle je odosielateľ nasledoval. V každom prípade, ak osoba na prijímajúcom konci používa proxy, potom sa sleduje IP adresa proxy servera.
Server proxy obsahuje protokol, ktorý je možné ďalej využiť na sledovanie odosielateľa e-mailu, ktorý je predmetom vyšetrovania. V prípade, že aj protokol proxy servera je z nejakého dôvodu neprístupný, v tom okamihu môžu skúšajúci poslať nepríjemný e-mail s Vstavaná Java Applet, ktorá beží na počítačovom systéme príjemcu alebo na Stránka HTML s objektom Active X vypátrať ich želanú osobu.
Vyšetrovanie sieťového zariadenia:
Sieťové zariadenia ako firewally, reuters, switche, modemy atď. obsahujú protokoly, ktoré je možné použiť pri sledovaní zdroja e-mailu. Pri tomto type vyšetrovania sa tieto protokoly používajú na zisťovanie zdroja e-mailovej správy. Jedná sa o veľmi zložitý typ forenzného vyšetrovania a používa sa zriedka. Často sa používa, keď protokoly poskytovateľa proxy alebo poskytovateľa internetových služieb nie sú k dispozícii z nejakého dôvodu, ako je nedostatok údržby, lenivosť alebo nedostatok podpory od poskytovateľa internetových služieb.
Softvérové zabudované identifikátory:
Niektoré údaje o skladateľovi záznamov alebo archívov spojených s e-mailom môžu byť do správy začlenené e-mailovým softvérom, ktorý odosielateľ použil na zostavenie pošty. Tieto údaje si možno pamätajú pre typ vlastných hlavičiek alebo ako obsah MIME ako formát TNE. Pri skúmaní e-mailu s týmito jemnosťami môžete zistiť niektoré dôležité údaje o e-mailových preferenciách a možnostiach odosielateľov, ktoré by mohli podporiť zhromažďovanie dôkazov na strane klienta. Pri vyšetrení sa môžu zistiť názvy dokumentov PST, MAC adresa atď. Na počítači zákazníka používanom na odosielanie e-mailových správ.
Analýza prílohy:
Spomedzi vírusov a škodlivého softvéru sa väčšina z nich odosiela prostredníctvom e-mailových spojení. Preskúmanie príloh e-mailov je naliehavé a rozhodujúce pri každej skúške súvisiacej s e-mailom. Únik súkromných údajov je ďalšou významnou oblasťou skúmania. Existuje softvér a nástroje prístupné na získanie informácií súvisiacich s e-mailom, napríklad príloh z pevných diskov počítačového systému. Na preskúmanie pochybných pripojení vyšetrovatelia nahrajú prílohy do izolovaného priestoru online, napríklad VirusTotal, aby skontrolovali, či je dokument malvér alebo nie. Nech je to akokoľvek, je najdôležitejšie spravovať na vrchole zoznamu priorít, že bez ohľadu na to, či záznam prechádza hodnotením, napríklad VirusTotal, nejde o záruku, že je úplne chránený. Ak k tomu dôjde, je rozumné ďalej skúmať tento rekord v sandboxovej situácii, napríklad na Kukučke.
Odtlačky prstov odosielateľa:
Pri skúmaní Prijaté v hlavičkách je možné identifikovať softvér, ktorý sa stará o e-maily na konci servera. Na druhej strane, po preskúmaní X-mailer je možné identifikovať softvér, ktorý sa stará o e-maily na konci klienta. Tieto polia hlavičiek zobrazujú softvér a jeho verzie použité na konci klienta na odoslanie e-mailu. Tieto údaje o klientskom počítači odosielateľa môžu byť použité na pomoc skúšajúcim pri formulovaní výkonnej stratégie, a teda tieto riadky sú nakoniec veľmi cenné.
Nástroje e-mailovej forenznej analýzy:
V poslednom desaťročí bolo vytvorených niekoľko nástrojov alebo softvéru na vyšetrovanie miest činu. Väčšina nástrojov však bola vytvorená izolovane. Okrem toho sa predpokladá, že väčšina z týchto nástrojov nemá vyriešiť konkrétny problém s digitálnymi zariadeniami alebo počítačovými priestupkami. Namiesto toho sa plánuje vyhľadanie alebo obnovenie údajov. Vylepšili sa forenzné nástroje, ktoré uľahčili prácu vyšetrovateľa, a na internete je k dispozícii množstvo úžasných nástrojov. Niektoré nástroje používané na e-mailovú forenznú analýzu sú uvedené nižšie:
EmailTrackerPro:
EmailTrackerPro skúma hlavičky e-mailových správ, aby rozpoznal IP adresu zariadenia, ktoré správu odoslalo, aby bolo možné nájsť odosielateľa. Môže sledovať rôzne správy súčasne a efektívne ich monitorovať. Umiestnenie adries IP je kľúčovým údajom pri určovaní úrovne nebezpečenstva alebo legitimity e-mailovej správy. Tento úžasný nástroj sa môže držať mesta, z ktorého s najväčšou pravdepodobnosťou pochádza e-mail. Rozpoznáva ISP odosielateľa a poskytuje kontaktné údaje pre ďalšie preskúmanie. Skutočný spôsob adresy IP odosielateľa je uvedený v riadiacom stole. Poskytuje ďalšie údaje o oblasti, ktoré vám pomôžu rozhodnúť o skutočnej oblasti odosielateľa. Prvok oznamovania zneužitia, ktorý sa v ňom nachádza, sa dá veľmi dobre využiť na zjednodušenie ďalšieho skúmania. Kvôli ochrane pred spamovými e-mailmi kontroluje a overuje e-mailové adresy na základe čiernych zoznamov nevyžiadanej pošty, napríklad Spamcops. Podporuje rôzne jazyky vrátane japonských, ruských a čínskych jazykových filtrov nevyžiadanej pošty spolu s angličtinou. Dôležitým prvkom tohto nástroja je odhalenie zneužitia, ktoré umožňuje vytvoriť správu, ktorá sa môže odoslať poskytovateľovi služieb (ISP) odosielateľa. Poskytovateľ internetových služieb potom môže nájsť spôsob, ako nájsť majiteľov účtov a pomôcť vypnúť spam.
Xtraxtor:
Tento úžasný nástroj Xtraxtor je vyrobený na oddelenie e-mailových adries, telefónnych čísel a správ od rôznych formátov súborov. Prirodzene rozlišuje predvolenú oblasť a rýchlo pre vás skúma e-mailové informácie. Klienti to môžu robiť bez väčšieho množstva e-mailových adries extrahovaných zo správ a dokonca aj z príloh súborov. Xtraxtor obnovuje vymazané a neodstránené správy z mnohých konfigurácií poštových schránok a poštových účtov IMAP. Okrem toho má rozhranie, ktoré sa dá ľahko naučiť, a funkciu dobrej asistencie, ktorá uľahčuje činnosť používateľa, a ušetrí veľa času vďaka rýchlemu e-mailu, príprave motorických funkcií a funkcií pre odstránenie záznamu. Xtraxtor je kompatibilný so súbormi MBOX systému Mac a systémami Linux a môže poskytovať výkonné funkcie na vyhľadanie relevantných informácií.
Advik (nástroj na zálohovanie e-mailov):
Advik, nástroj na zálohovanie e-mailov, je veľmi dobrý nástroj, ktorý sa používa na prenos alebo export všetkých e-mailov z jednej poštovej schránky, vrátane všetkých priečinkov, ako sú odoslané správy, koncepty, doručené pošty, spam atď. Používateľ si môže bez veľkého úsilia stiahnuť zálohu ľubovoľného e-mailového účtu. Prevod zálohovania e-mailov do rôznych formátov súborov je ďalšou skvelou vlastnosťou tohto úžasného nástroja. Jeho hlavnou črtou je Predbežný filter. Táto možnosť môže ušetriť obrovské množstvo času exportom správ o našej potrebe zo schránky v krátkom čase. IMAP Táto funkcia umožňuje načítať e-maily z cloudových úložísk a je možné ju použiť so všetkými poskytovateľmi e-mailových služieb. Advik možno použiť na ukladanie záloh na požadované miesto a podporuje viac jazykov spolu s angličtinou vrátane japončiny, španielčiny a francúzštiny.
Systools MailXaminer:
S pomocou tohto nástroja je klient oprávnený meniť svoje lovné kanály v závislosti na situácii. Poskytuje klientom alternatívu nahliadnuť do vnútra správ a spojení. Tento forenzný e-mailový nástroj navyše ponúka komplexnú pomoc pri vedeckom skúmaní e-mailov v pracovnej oblasti aj pri správe elektronických e-mailov. Umožňuje skúšajúcim legitímnym spôsobom riešiť viac ako jeden prípad. Rovnako tak s pomocou tohto nástroja na analýzu e-mailov môžu špecialisti dokonca zobraziť podrobnosti chatu, vykonať kontrolu hovoru a zobraziť podrobnosti správy medzi rôznymi klientmi aplikácie Skype. Hlavnými vlastnosťami tohto softvéru je, že podporuje viac jazykov spolu s angličtinou vrátane japončiny, španielčiny, francúzštiny a čínštiny a formát, v ktorom kompenzuje odstránené e-maily, je prijateľný súdom. Poskytuje zobrazenie správy protokolov, v ktorom je zobrazený dobrý prehľad o všetkých činnostiach. Systools MailXaminer je kompatibilný s dd, e01, zips a mnoho ďalších formátov.
Sťažnosť:
Existuje nástroj tzv Sťažnosť ktorý sa používa na hlásenie komerčných e-mailov a príspevkov botnetov a tiež reklám ako „rýchlo zarobte peniaze“, „rýchle peniaze“ atď. Adcomplain sám vykoná analýzu hlavičky u odosielateľa e-mailu po identifikácii takejto pošty a nahlási ju ISP odosielateľa.
Záver:
Email používa takmer každý človek využívajúci internetové služby po celom svete. Podvodníci a počítačoví zločinci môžu falšovať hlavičky e-mailov a anonymne odosielať e-maily so škodlivým obsahom a obsahom podvodu, čo môže viesť ku kompromitáciám údajov a hackerom. A práve to zvyšuje dôležitosť e-mailovej forenznej kontroly. Kybernetickí zločinci používajú niekoľko spôsobov a techník, aby klamali o svojej totožnosti, napríklad:
- Spoofing:
Zlí ľudia s cieľom skryť svoju vlastnú identitu falšujú hlavičky e-mailov a dopĺňajú ich nesprávnymi informáciami. Keď sa spoofing e-mailov spojí s spoofingom IP, je veľmi ťažké vystopovať skutočnú osobu, ktorá za tým stojí.
- Neoprávnené siete:
Siete, ktoré sú už napadnuté (vrátane káblových aj bezdrôtových), sa používajú na odosielanie nevyžiadaných e-mailov na skrytie identity.
- Otvorené poštové relé:
Nesprávne nakonfigurovaný prenos pošty prijíma maily zo všetkých počítačov vrátane tých, z ktorých by nemal prijímať. Potom ju preposiela do iného systému, ktorý by tiež mal prijímať poštu z konkrétnych počítačov. Tento typ poštového prenosu sa nazýva otvorené poštové relé. Tento druh prenosu používajú podvodníci a hackeri na skrytie svojej identity.
- Otvoriť server proxy:
Stroj, ktorý umožňuje používateľom alebo počítačom pripojiť sa prostredníctvom neho k iným počítačovým systémom, sa nazýva a proxy server. Existujú rôzne typy serverov proxy, ako napríklad podnikový server proxy, transparentný server proxy atď. v závislosti od typu anonymity, ktorú poskytujú. Otvorený server proxy nesleduje záznamy o činnostiach používateľov a neudržuje protokoly, na rozdiel od iných serverov proxy, ktoré uchovávajú záznamy o činnostiach používateľov so správnymi časovými značkami. Tieto druhy serverov proxy (otvorené servery proxy) poskytujú anonymitu a súkromie, ktoré je cenné pre podvodníka alebo zlú osobu.
- Anonymizátory:
Anonymizéri alebo preposielatelia sú webové stránky fungujúce pod zámienkou ochrany súkromia používateľov na internete a ich anonymizácie zámerným vypustením hlavičiek z e-mailu a neudržiavaním protokolov servera.
- Tunel SSH:
Tunel na internete znamená bezpečnú cestu pre dáta cestujúce v nedôveryhodnej sieti. Tunelovanie sa dá vykonať rôznymi spôsobmi, ktoré závisia od použitého softvéru a techniky. Pomocou funkcie SSH je možné ustanoviť tunelovanie presmerovania portov SSH a vytvorí sa šifrovaný tunel, ktorý využíva pripojenie protokolu SSH. Podvodníci používajú tunelovanie SSH pri odosielaní e-mailov na skrytie svojej identity.
- Botnety:
Termín robot získaný z „ro-bot“ v jeho konvenčnej štruktúre sa používa na vykreslenie obsahu alebo množiny obsahu alebo programu určeného na vykonávanie preddefinovaných prác znova a znova a následne v dôsledku zámernej aktivácie alebo infekcie systému. Napriek tomu, že roboty začínali ako pomocný prvok pri sprostredkovaní pochmúrnych a zdĺhavých aktivít, sú týraní na škodlivé účely. Roboty, ktoré sa používajú na dokončenie skutočných cvičení mechanizovaným spôsobom, sa nazývajú láskaví roboti a tí, ktorí sú určení na zhubný účel, sa nazývajú škodliví roboti. Botnet je systém robotov obmedzený botmasterom. Botmaster môže nariadiť svojim kontrolovaným robotom (zhubným robotom) bežiacim na podlomených počítačoch po celom svete, aby poslali e-mail na niektoré určené miesta a zároveň zamaskoval jeho charakter a spáchal e-mailový podvod alebo e-mailový podvod.
- Nezistiteľné pripojenie k internetu:
Internetová kaviareň, univerzitný kampus, rôzne organizácie poskytujú prístup k internetu používateľom zdieľaním internetu. V takom prípade, ak sa o aktivitách používateľov neuchováva správny protokol, je veľmi ľahké robiť nelegálne aktivity a e-mailové podvody a zbaviť sa ich.
E-mailová forenzná analýza sa používa na zistenie skutočného odosielateľa a príjemcu e-mailu, dátumu a času jeho prijatia a informácií o sprostredkovateľských zariadeniach zapojených do doručenia správy. K dispozícii sú tiež rôzne nástroje na urýchlenie úloh a ľahké vyhľadanie požadovaných kľúčových slov. Tieto nástroje analyzujú hlavičky e-mailov a poskytujú kriminalistickému vyšetrovateľovi požadovaný výsledok čo najskôr.
