Phenquestions
Архітектура електронної пошти:
Коли користувач надсилає електронне повідомлення, воно не надходить безпосередньо на поштовий сервер в кінці одержувача; швидше, він проходить через різні поштові сервери.
MUA - це програма на кінці клієнта, яка використовується для читання та складання електронних листів. Існують різні MUA, такі як Gmail, Outlook тощо. Кожного разу, коли MUA відправляє повідомлення, воно надходить на MTA, який декодує повідомлення та визначає місце, яке воно має бути надіслано, читаючи інформацію заголовка та модифікуючи його заголовок, додаючи дані, а потім передає його MTA на приймальному кінці. Останній MTA, присутній безпосередньо перед тим, як MUA декодує повідомлення та відправляє його до MUA на приймальному кінці. Ось чому в заголовку електронної пошти ми можемо знайти інформацію про декілька серверів.
Аналіз заголовка електронної пошти:
Криміналістика електронної пошти починається з вивчення електронної пошти заголовок оскільки він містить величезну кількість інформації про повідомлення електронної пошти. Цей аналіз складається як з вивчення основного вмісту, так і із заголовка електронної пошти, що містить інформацію про даний електронний лист. Аналіз заголовка електронної пошти допомагає виявити більшість злочинів, пов’язаних з електронною поштою, таких як фішинг на списи, спам, підробка електронної пошти тощо. Спіфінг - це техніка, за допомогою якої можна прикинутися кимось іншим, і звичайний користувач на мить подумає, що це його друг або якась людина, яку він вже знає. Просто хтось надсилає електронні листи з підробленої адреси електронної пошти свого друга, і справа не в тому, що їхній акаунт зламаний.
Проаналізувавши заголовки електронних листів, можна дізнатись, надійшов він електронною поштою з підробленої адреси електронної пошти чи справжньої. Ось як виглядає заголовок електронної пошти:
Доставлено: [захищено електронною поштою]Отримано: до 2002 року: a0c: f2c8: 0: 0: 0: 0: 0 з ідентифікатором SMTP c8csp401046qvm;
Середа, 29 липня 2020 05:51:21 -0700 (PDT)
Отримано X: до 2002 року: a92: 5e1d :: з ідентифікатором SMTP s29mr19048560ilb.245.1596027080539;
Ср, 29 липня 2020 05:51:20 -0700 (PDT)
ARC-Seal: i = 1; a = rsa-sha256; t = 1596027080; cv = немає;
d = google.com; s = arc-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Or2Q ==
ARC-Повідомлення-Підпис: i = 1; a = rsa-sha256; c = розслаблений / розслаблений; d = google.com; s = arc-20160816;
h = до: subject: message-id: date: from: mime-version: dkim-signature;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxxTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
Результати аутентифікації ARC: i = 1; mx.Google.com;
dkim = пройти заголовок [захищений електронною поштою].s = 20161025 заголовок.b = JygmyFja;
spf = pass (google.com: домен [захищений електронною поштою] позначає 209.85.22000 як
дозволений відправник) [електронна пошта захищена];
dmarc = заголовок (p = NONE sp = QUARANTINE dis = NONE).від = gmail.ком
Зворотний шлях: <[email protected]>
Отримано: від mail-sor-f41.Google.com (mail-sor-f41.Google.ком. [209.85.000.00])
від mx.Google.com з ідентифікатором SMTPS n84sor2004452iod.19.2020 рік.07.29.00.00.00
для <[email protected]>
(Google Transport Security);
Ср, 29 липня 2020 05:51:20 -0700 (PDT)
Отримано-SPF: pass (google.com: домен [захищений електронною поштою] позначає 209.85.000.00
як дозволений відправник) client-ip = 209.85.000.00;
Результати автентифікації: mx.Google.com;
dkim = пройти заголовок [захищений електронною поштою].s = 20161025 заголовок.b = JygmyFja;
spf = pass (google.com: позначається домен [захищений електронною поштою]
209.85.000.00 як дозволений відправник) [електронна пошта захищена];
dmarc = заголовок (p = NONE sp = QUARANTINE dis = NONE).від = gmail.ком
Підпис DKIM: v = 1; a = rsa-sha256; c = розслаблений / розслаблений;
d = gmail.com; s = 20161025;
h = mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
X-Google-DKIM-Підпис: v = 1; a = rsa-sha256; c = розслаблений / розслаблений;
d = 1e100.сітка; s = 20161025;
h = x-gm-message-state: mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
Стан повідомлення X-Gm: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
X-Google-Smtp-Джерело: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
Отримано X: до 2002 року: a05: 0000: 0b :: з ідентифікатором SMTP v11mr21571925jao.122.1596027079698;
Ср, 29 липня 2020 05:51:19 -0700 (PDT)
Версія MIME: 1.0
Від: Маркус Стойніс <[email protected]>
Дата: ср, 29 липня 2020 17:51:03 +0500
Ідентифікатор повідомлення: <[email protected]om>
Тема:
Кому: [електронна пошта захищена]
Тип вмісту: багаточастинний / альтернативний; межа = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Тип вмісту: текст / звичайний; charset = "UTF-8"
Для того, щоб зрозуміти інформацію заголовка, потрібно зрозуміти структурований набір полів у таблиці.
X-очевидно до: Це поле є корисним, коли електронне повідомлення надсилається кільком одержувачам, таким як прихована копія чи список розсилки. Це поле містить адресу ДО поле, але у випадку прихованої копії, X-мабуть до поле інше. Отже, у цьому полі вказується адреса одержувача, незважаючи на те, що електронне повідомлення надсилається як копія, прихована копія або якийсь список розсилки.
Зворотний шлях: Поле зворотного шляху містить поштову адресу, яку відправник вказав у полі Від.
Отриманий SPF: Це поле містить домен, з якого надходить пошта. У цьому випадку його
Отримано-SPF: pass (google.com: домен [захищений електронною поштою] позначає 209.85.000.00 як дозволений відправник) client-ip = 209.85.000.00;
Коефіцієнт X-спаму: На приймаючому сервері або MUA існує програмне забезпечення для фільтрації спаму, яке обчислює бали спаму. Якщо кількість спаму перевищує певний ліміт, повідомлення автоматично надсилається до папки зі спамом. Деякі MUA використовують різні назви полів для оцінки спаму, наприклад Коефіцієнт X-спаму, статус X-спаму, прапор X-спаму, рівень X-спаму тощо.
Отримано: Це поле містить IP-адресу останнього сервера MTA на кінці надсилання, який потім надсилає електронне повідомлення на MTA на кінці отримання. Подекуди це видно під Х-походить до поле.
Заголовок решітки: У цьому полі вказується назва та версія системи фільтрації повідомлень. Це стосується мови, яка використовується для визначення умов фільтрації повідомлень електронної пошти.
Набори X-спаму: Це поле містить інформацію про набори символів, що використовуються для фільтрації електронних листів, таких як UTF тощо. UTF - це хороший набір символів, який має можливість зворотної сумісності з ASCII.
X-вирішено до: Це поле містить адресу електронної пошти одержувача, або ми можемо сказати адресу поштового сервера, на який доставляє MDA відправника. Найчастіше, X-доставлено до, і це поле містить ту саму адресу.
Результати аутентифікації: Це поле повідомляє, чи пройшла отримана пошта з даного домену DKIM підписи та Ключі домену підпис чи ні. У цьому випадку це так.
Результати автентифікації: mx.Google.com;dkim = пройти заголовок [захищений електронною поштою].s = 20161025 заголовок.b = JygmyFja;
spf = pass (google.com: позначається домен [захищений електронною поштою]
209.85.000.00 як дозволений відправник)
Отримано: Перше отримане поле містить інформацію про трасування, оскільки IP машини надсилає повідомлення. На ній буде вказано ім'я машини та її IP-адресу. Точну дату та час отримання повідомлення можна побачити в цьому полі.
Отримано: від mail-sor-f41.Google.com (mail-sor-f41.Google.ком. [209.85.000.00])від mx.Google.com з ідентифікатором SMTPS n84sor2004452iod.19.2020 рік.07.29.00.00.00
для <[email protected]>
(Google Transport Security);
Ср, 29 липня 2020 05:51:20 -0700 (PDT)
До, від і тема: Поля "Кому", "із" та "Тема" містять інформацію про адресу електронної пошти одержувача, адресу електронної пошти відправника та тему, вказану під час надсилання електронного листа відправником відповідно. Тема поля порожня, якщо відправник залишає це таким чином.
Заголовки MIME: Для MUA виконати належне декодування, щоб повідомлення було безпечно відправлене клієнту, MIME кодування передачі, MIME зміст, його версія та довжина - важлива тема.
Версія MIME: 1.0Тип вмісту: текст / звичайний; charset = "UTF-8"
Тип вмісту: багаточастинний / альтернативний; межа = "00000000000023294e05ab94032b"
Ідентифікатор повідомлення: Ідентифікатор повідомлення містить доменне ім’я, додане унікальним номером сервером-відправником.
Ідентифікатор повідомлення: <[email protected]om>Дослідження сервера:
У цьому типі розслідування досліджуються дублікати переданих повідомлень та журнали працівників, щоб розрізнити джерело електронного листа. Навіть якщо клієнти (відправники або бенефіціари) видаляють свої повідомлення електронної пошти, які неможливо відновити, ці повідомлення можуть реєструватися серверами (проксі або постачальниками послуг) великими порціями. Ці проксі зберігають дублікат усіх повідомлень після їх передачі. Крім того, журнали, які ведуть працівники, можуть бути сконцентровані, щоб стежити за місцем розташування ПК, відповідального за здійснення обміну електронною поштою. У будь-якому випадку проксі-сервер або провайдер зберігають дублікати журналів електронної пошти та сервера лише деякий час, а деякі можуть не співпрацювати з криміналістичними слідчими. Крім того, працівників SMTP, які зберігають таку інформацію, як номер Visa та іншу інформацію, що стосується власника поштової скриньки, можна використовувати для розрізнення осіб, які стоять за адресою електронної пошти.
Тактика приманки:
Під час розслідування цього типу електронний лист із http: “" тег із джерелом зображення на будь-якому ПК, перевіреному екзаменаторами, надсилається відправнику електронного листа, що перевіряється, що містить справжні (справжні) адреси електронної пошти. У момент відкриття електронного листа на HTTP-сервері записується розділ журналу, що містить IP-адресу того, хто знаходиться в кінці прийому (відправника винуватця). слідували. У будь-якому випадку, якщо особа, що приймає, використовує проксі-сервер, то IP-адреса проксі-сервера відстежується.
Проксі-сервер містить журнал, який можна використовувати в подальшому для відстеження відправника електронного листа, що розглядається. Якщо навіть журнал проксі-сервера недоступний через якесь пояснення, експерти можуть надіслати неприємний електронний лист, Вбудований Java Applet, що працює на комп'ютерній системі одержувача або HTML-сторінка з Active X Object відстежити бажану людину.
Дослідження мережевих пристроїв:
Мережеві пристрої, такі як брандмауери, рейтери, комутатори, модеми тощо. містять журнали, які можна використовувати для відстеження джерела електронного листа. У цьому типі розслідування ці журнали використовуються для дослідження джерела повідомлення електронної пошти. Це дуже складний вид криміналістичного розслідування, який застосовується рідко. Він часто використовується, коли журнали проксі-сервера або постачальника послуг Інтернету недоступні з якихось причин, таких як відсутність технічного обслуговування, лінощі або відсутність підтримки з боку постачальника послуг Інтернет.
Вбудовані програмні ідентифікатори:
Деякі дані про композитора приєднаних до електронної пошти записів або архівів можуть бути включені в повідомлення за допомогою програмного забезпечення для електронної пошти, що використовується відправником для складання пошти. Ці дані можуть запам'ятовуватися за типом користувацьких заголовків або як вміст MIME як формат TNE. Дослідження електронної пошти для виявлення цих тонкощів може виявити деякі важливі дані про уподобання та вибір електронної пошти відправників, які могли б підтримати збір доказів на стороні клієнта. Експертиза може виявити імена документів PST, MAC-адресу тощо на ПК клієнта, який використовується для надсилання електронних повідомлень.
Аналіз вкладень:
Серед вірусів та шкідливого програмного забезпечення більшість із них надсилається через зв’язки електронною поштою. Перевірка вкладень електронної пошти є надзвичайно важливою і важливою під час будь-якої перевірки, пов’язаної з електронною поштою. Витік приватних даних - ще одне важливе поле вивчення. Існує програмне забезпечення та інструменти, доступні для відшкодування інформації, пов’язаної з електронною поштою, наприклад, вкладення з жорстких дисків комп’ютерної системи. Для перевірки сумнівних зв’язків слідчі завантажують вкладення в онлайн-пісочницю, наприклад, VirusTotal, щоб перевірити, чи є документ шкідливим програмним забезпеченням чи ні. Як би там не було, надзвичайно важливо керувати у верхній частині списку пріоритетів тим, що незалежно від того, чи проходить запис оцінку, наприклад, VirusTotal, це не є гарантією того, що вона повністю захищена. Якщо це трапляється, розумна думка дослідити запис далі в ситуації пісочниці, наприклад, «Зозуля».
Відбитки пальців відправника:
На обстеження Отримано поле в заголовках, програмне забезпечення, яке піклується про електронні листи в кінці сервера, може бути визначене. З іншого боку, при вивченні X-mailer поле, програмне забезпечення, яке піклується про електронні листи в кінці клієнта, може бути ідентифіковане. Ці поля заголовка відображають програмне забезпечення та їх версії, що використовуються в кінці клієнта для надсилання електронного листа. Ці дані про клієнтський ПК відправника можуть бути використані для допомоги екзаменаторам у формулюванні потужної стратегії, і, отже, ці рядки виявляються дуже цінними.
Інструменти криміналістики електронною поштою:
За останнє десятиліття було створено кілька інструментів або програмного забезпечення для розслідування місця злочинів електронною поштою. Але більшість інструментів були створені ізольовано. Крім того, більшість з цих інструментів не повинні вирішувати певну проблему, пов’язану з незаконними діями у цифровій галузі чи на ПК. Натомість їх планують шукати або відновлювати дані. Поліпшення інструментів криміналістики полегшило роботу слідчого, і в Інтернеті є безліч чудових інструментів. Деякі інструменти, що використовуються для аналізу криміналістичної електронної пошти, наведені нижче:
EmailTrackerPro:
EmailTrackerPro досліджує заголовки повідомлення електронної пошти, щоб розпізнати IP-адресу машини, яка надіслала повідомлення, щоб можна було знайти відправника. Він може одночасно стежити за різними повідомленнями та ефективно контролювати їх. Розташування IP-адрес є ключовими даними для вирішення рівня небезпеки або законності повідомлення електронної пошти. Цей дивовижний інструмент може дотримуватися міста, з якого, ймовірно, походить електронний лист. Він розпізнає Інтернет-провайдера відправника та надає контактні дані для подальшого розгляду. Справжній шлях до IP-адреси відправника описується в таблиці керування, надаючи додаткові дані про область, які допоможуть визначити фактичну площу відправника. Елемент повідомлення про зловживання в ньому дуже добре може бути використаний для спрощення подальшої експертизи. Для захисту від електронної пошти електронної пошти він перевіряє та перевіряє електронні листи проти чорних списків спаму, наприклад Spamcops. Він підтримує різні мови, включаючи японську, російську та китайську мовні фільтри спаму, а також англійську. Важливим елементом цього інструменту є неправильне виявлення, яке може скласти звіт, який можна надіслати Постачальнику послуг (ISP) відправника. Потім Інтернет-провайдер може знайти спосіб знайти власників рахунків та допомогти вимкнути спам.
Xtraxtor:
Цей чудовий інструмент Xtraxtor створений для того, щоб відокремити адреси електронної пошти, номери телефонів та повідомлення від різних форматів файлів. Це, природно, виділяє область за замовчуванням і швидко досліджує інформацію про електронну пошту для вас. Клієнти можуть це зробити без особливої натяжки витягувати адреси електронної пошти з повідомлень і навіть із вкладень файлів. Xtraxtor відновлює видалені та очищені повідомлення з численних конфігурацій поштових скриньок та поштових облікових записів IMAP. Крім того, він має простий в освоєнні інтерфейс і хорошу функцію допомоги, щоб спростити діяльність користувачів, а також заощаджує купу часу завдяки швидкій електронній пошті, підготовці моторних функцій та функцій зняття дубляжу. Xtraxtor сумісний з файлами MBOX Mac та системами Linux і може надавати потужні функції для пошуку відповідної інформації.
Advik (інструмент резервного копіювання електронної пошти):
Advik, інструмент резервного копіювання електронної пошти, - це дуже хороший інструмент, який використовується для передачі або експорту всіх електронних листів з власної поштової скриньки, включаючи всі папки, такі як надіслані, чернетки, вхідні, спам тощо. Користувач може завантажити резервну копію будь-якого облікового запису електронної пошти без особливих зусиль. Перетворення резервної копії електронної пошти в різні формати файлів - ще одна чудова особливість цього чудового інструменту. Головною його особливістю є Попередній фільтр. Цей параметр може заощадити величезну кількість часу, швидко експортуючи повідомлення з нашої потреби з поштової скриньки. IMAP Ця функція дає можливість отримувати електронні листи з хмарних сховищ і може використовуватися у всіх постачальників послуг електронної пошти. Адвік може використовуватися для зберігання резервних копій потрібного нам місця та підтримує кілька мов разом з англійською, включаючи японську, іспанську та французьку.
Systools MailXaminer:
За допомогою цього інструменту клієнту дозволяється змінювати свої канали полювання, спираючись на ситуацію. Це дає клієнтам альтернативу заглянути всередину повідомлень та з'єднань. Більше того, цей інструмент судової електронної пошти додатково пропонує всеосяжну допомогу для наукового обстеження електронної пошти як робочої області, так і електронних адміністрацій електронної пошти. Це дозволяє екзаменаторам легітимним чином розглядати не одну справу. Так само, за допомогою цього інструменту для аналізу електронної пошти, фахівці можуть навіть переглядати деталі чату, проводити перевірку дзвінків та переглядати деталі повідомлень між різними клієнтами програми Skype. Основними особливостями цього програмного забезпечення є те, що воно підтримує кілька мов, поряд з англійською, включаючи японську, іспанську та французьку та китайську, а формат, в якому воно окупає видалені листи, прийнятний у суді. Він надає подання журналу управління, в якому відображається хороший огляд усіх дій. Systools MailXaminer сумісний з dd, e01, zip та багато інших форматів.
Поскаржитися:
Існує інструмент, який називається Поскаржитися що використовується для звітності про комерційні листи та розміщення в ботнетах, а також про рекламу на кшталт "швидко заробити", "швидко заробити" тощо. Adcomplain сама виконує аналіз заголовка відправника електронної пошти після ідентифікації такої пошти та повідомляє про це постачальника послуг Інтернету.
Висновок:
Електронна пошта використовується майже кожною людиною, яка користується Інтернет-послугами у всьому світі. Шахраї та кіберзлочинці можуть підробляти заголовки електронних листів та анонімно надсилати електронні листи зі зловмисним вмістом та вмістом шахрайства, що може призвести до компрометації даних та злому. І саме це додає важливості судово-медичній експертизі електронної пошти. Кіберзлочинці використовують кілька способів і прийомів, щоб брехати про свою особистість, наприклад:
- Підробка:
Щоб приховати власну особистість, погані люди підробляють заголовки електронних листів і заповнюють їх неправильною інформацією. Коли підробка електронної пошти поєднується з підробкою IP-адрес, дуже важко простежити фактичну особу, яка стоїть за нею.
- Несанкціоновані мережі:
Мережі, які вже скомпрометовані (включаючи дротову та бездротову мережі), використовуються для надсилання спаму, щоб приховати особу.
- Реле відкритої пошти:
Неправильно налаштоване поштове реле приймає електронні листи з усіх комп’ютерів, включаючи ті, з яких воно не повинно приймати. Потім він перенаправляє його в іншу систему, яка також повинна приймати пошту з певних комп'ютерів. Цей тип поштового ретранслятора називається відкритим ретранслятором пошти. Цей тип естафети використовується шахраями та хакерами, щоб приховати свою особу.
- Відкритий проксі:
Машина, яка дозволяє користувачам або комп’ютерам підключатися через неї до інших комп’ютерних систем, називається а проксі-сервер. Існують різні типи проксі-серверів, такі як корпоративний проксі-сервер, прозорий проксі-сервер тощо. залежно від типу анонімності, яку вони надають. Відкритий проксі-сервер не відстежує записи про дії користувачів і не веде журнали, на відміну від інших проксі-серверів, які ведуть записи про дії користувачів із відповідними позначками часу. Такі типи проксі-серверів (відкриті проксі-сервери) забезпечують анонімність та конфіденційність, що є цінним для шахрая чи поганої людини.
- Анонімайзери:
Анонімайзери або розсилки - це веб-сайти, що працюють під виглядом захисту конфіденційності користувача в Інтернеті та роблять їх анонімними, навмисно скидаючи заголовки з електронного листа та не ведучи журнали сервера.
- Тунель SSH:
В Інтернеті тунель означає безпечний шлях для передачі даних у ненадійній мережі. Туннелювання може виконуватися різними способами, які залежать від використовуваного програмного забезпечення та техніки. За допомогою функції SSH можна встановити тунелювання переадресації портів SSH і створити зашифрований тунель, який використовує з'єднання протоколу SSH. Шахраї використовують тунелювання SSH для надсилання електронних листів, щоб приховати свою особу.
- Ботнети:
Термін бот, отриманий від "ro-bot", у його звичайній структурі використовується для відображення вмісту або набору вмісту або програми, призначеної для виконання заздалегідь визначених робіт знову і знову і, отже, після активізації навмисно або через зараження системи. Незважаючи на той факт, що боти почали використовуватись як корисний елемент для здійснення сумних та нудних дій, проте над ними зловживають у зловмисних цілях. Боти, які використовуються для механізованого виконання реальних вправ, називаються добрими ботами, а ті, які призначені для злоякісної мети, відомі як шкідливі боти. Ботнет - це система ботів, обмежена ботмайстром. Ботмастер може замовити керованим ботам (злоякісним ботам), що працюють на підірваних ПК по всьому світу, надсилати електронну пошту в певні призначені місця, маскуючи свого персонажа та здійснюючи шахрайство з електронною поштою або шахрайство з електронною поштою.
- Непростежувані підключення до Інтернету:
Інтернет-кафе, університетський містечко, різні організації надають доступ до Інтернету користувачам через спільний доступ до Інтернету. У цьому випадку, якщо належний журнал діяльності користувачів не ведеться, дуже легко виконувати незаконні дії та шахрайства електронною поштою, щоб уникнути цього.
Криміналістичний аналіз електронної пошти використовується для пошуку фактичного відправника та одержувача електронного листа, дати та часу його отримання, а також інформації про проміжні пристрої, що беруть участь у доставці повідомлення. Існують також різні інструменти, які дозволяють пришвидшити завдання та легко знайти потрібні ключові слова. Ці інструменти аналізують заголовки електронних листів і в найкоротші терміни дають слідчому слідчий бажаний результат.
