Как вычислить мошенника — определяем подмену адреса электронной почты

Опубликовано: 27/05/2017Рубрика: Советы вебмастера

Здравствуйте, уважаемые друзья. Сегодня поговорим о том, как вычислить мошенника и не попасть в неприятную ситуацию. Мы все пользуемся электронной почтой, через которую к нам вместе с полезными письмами приходит спам, а иногда и письма от мошенников, которые используют подмену адреса электронной почты.

Почтовые сервисы стоят на страже, но, к сожалению, не могут полностью оградить нас от действий мошенников. Это всё-таки программа, она может заподозрить мошенничество и предупредит вас, а вы уже должны принять окончательное решение.

Kwork.ru - услуги фрилансеров от 500 руб.

Мошенники действуют под видом авторитетных сервисов, организаций и людей. Выдавая ложный адрес отправителя за фирменный. Поэтому важно уметь самостоятельно отличать мошеннические письма.

Я всё покажу на примере свеженького письма мошенников под видом регистратора доменных имен Ru-Center. Прислали его на днях, адрес отправителя содержал фирменный домен, а в письме содержалась инструкция по повторному подтверждению прав на домен с загрузкой файла на сайт. И предупреждение, что домен будет отключён в случае невыполнения требований.

В таких ситуация нужно действовать правильно.

Содержание

Как определить, что письмо мошенническое
Как определить подмену адреса электронной почты
Наглядный видеопример
Заключение

Как определить, что письмо мошенническое

Обращайте внимание на сообщения почтовых сервисов. В большинстве случаев они предупредят вас о подозрительных действиях с письмом.
Проверяйте подмену адреса электронной почты. Сделать это можно по служебным заголовкам. Все современные почтовики предоставляют эту возможность.
Поищите информацию в поисковике. Можете ввести в строку поиска истинный адрес отправителя или что-то из письма, и наверняка найдёте информацию о мошенничестве.
Обратитесь в службу поддержку с официального сайта. Важно: по ссылкам в письме не переходите. Перейдите на официальный сайт через поисковик.

Как определить подмену адреса электронной почты

Покажу пример на почте mail.ru, куда и пришло письмо от мошенников.

Как видно на скриншоте, адрес отправителя содержит фирменный домен @nic.ru, в письме указан домен, который я регистрировал.

Но, тут, же предупреждение от почтовика и предложение загрузить на сайт исполняемый файл. Это должно вас насторожить. Вы должны выяснить истинный адрес отправителя.

Для этого в открытом письме нажмите кнопку «Ещё» в панели инструментов, в выпадающем меню выберите пункт «Служебные заголовки».

Откроется новое окно, которое будет содержать служебную информацию. Подробную расшифровку можно найти в интернете. В нашем же случае важно обратить внимание на поля Received в них содержится истинный адрес отправителя.

Вы можете совсем не разбираться в этой технической информации, это совсем неглавное. Мошенники действуют под видом кого-то, используют фирменный домен. Так вот, в истинном адресе мошенника, в строках Received упоминания фирменного домена не будет.

На примере всё хорошо видно.

Наглядный видеопример

Заключение

Друзья, всегда обращайте внимание на сообщения от почтовых сервисов, проверяйте истинный адрес отправителя, не загружайте файлы из таких подозрительных писем и не выполняйте указания из письма. Будьте внимательны.

Желаю вам удачи!

С уважением, Максим Зайцев

13 мошенники подмена адреса почта

Комментарии: 13

Михаил 01/06/2017 в 17:09

Актуальная статья — предупреждение. У меня несколько знакомых, стали жертвами вируса шифровальщика, потому что безмятежно ткнули в файл вложения, который назвался «акт сверки». К сожалению в мире кибер угроз лучше перебдеть , чем недобдеть.

Ответить
1. Максим Зайцев (автор) 05/06/2017 в 20:00
  
  Михаил, вы правы! Всегда нужно думать и проверять источники информации.
  
  Ответить
Валерий 08/06/2017 в 10:12

Максим привет, не совсем по теме статьи вопрос, если зайти на мой блог с смартфона, то всплывет окно с предложением обновить браузер UC Browser, причем предложение появляется даже если на телефоне и не установлен данный браузер. Как ты думаешь, что это может быть и насколько серьезно?

Ответить
1. Максим Зайцев (автор) 08/06/2017 в 19:43
  
  Валера, привет. Это может быть вирус в смартфоне, проверь его в первую очередь. А также обязательно проверь и сайт.
  
  Ответить
  1. Валерий 09/06/2017 в 00:40
    
    Вирус в смартфоне наверное нет так как минимум в двух телефонах это выскакивает. скорее всего сайт но как туда попало это и где искать?
    
    Ответить
    1. Максим Зайцев (автор) 09/06/2017 в 11:00
      
      Валера, первым делом посмотри в разделах безопасности кабинетов вебмастера Яндекс и Гугл, есть ли предупреждения. Почитай справку Яндекса на этот счёт: https://yandex.ru/support/webmaster/security/cure.xml
      
      Ответить
      1. Валерий 09/06/2017 в 11:04
        
        В кабинете Яндекса и Google все нормально на этот счет предупреждений нет.
      2. Максим Зайцев (автор) 09/06/2017 в 11:42
        
        Попробуй проверь сайта на этом сервисе https://www.virustotal.com/ru/
        Если там всё ОК, значит причина не на сайте.
Назар 03/10/2017 в 11:28

Здравствуйте Максим. Пришло письмо, якобы от банка «Интеза», с адреса: Банк Интеза info@bancaintesa.ru. Мой email: Marketmakerr@yandex.ru

Заголовки: Received: from mxback8j.mail.yandex.net ([127.0.0.1])
by mxback8j.mail.yandex.net with LMTP id y7ESI6DY
for ; Mon, 2 Oct 2017 17:51:36 +0300
Received: from mxback8j.mail.yandex.net (localhost.localdomain [127.0.0.1])
by mxback8j.mail.yandex.net (Yandex) with ESMTP id 2BB265100804
for ; Mon, 2 Oct 2017 17:51:36 +0300 (MSK)
Received: from web29j.yandex.ru (web29j.yandex.ru [5.45.198.70])
by mxback8j.mail.yandex.net (nwsmtp/Yandex) with ESMTP id dDEPmbBZcX-pZ806eCZ;
Mon, 02 Oct 2017 17:51:35 +0300
X-Yandex-Front: mxback8j.mail.yandex.net
X-Yandex-TimeMark: 1506955895

Ваше Профессиональное мнение? Не могу понять, где здесь реальная почта мошенника.

Ответить
1. Максим Зайцев (автор) 03/10/2017 в 20:02
  
  Здравствуйте, Назар. Это в явном виде письмо от мошенников. Нигде в служебной информации не фигурирует домен bancaintesa.ru, на базе которого, якобы, создан ящик отправителя. Истинный ящик отправителя — web29j. Вряд ли банк будет создавать такие ящики.
  
  Ответить
  1. Назар 03/10/2017 в 20:07
    
    Спасибо большое Максим за помощь. Создал запрос с другого почтового ящика в банк. Ответили с другого IP (на котором расположен сайт, IP статичен) и домен фигурирует:
    Received: from mxfront13g.mail.yandex.net ([127.0.0.1])
    by mxfront13g.mail.yandex.net with LMTP id zlxcbDtd
    for ; Tue, 3 Oct 2017 13:30:14 +0300
    Received: from mx.bancaintesa.ru (mx.bancaintesa.ru [194.110.202.5])
    by mxfront13g.mail.yandex.net (nwsmtp/Yandex) with ESMTPS id dQAfyZ8QbS-UD1iqvWG;
    Tue, 03 Oct 2017 13:30:13 +0300
    (using TLSv1 with cipher ECDHE-RSA-AES128-SHA (128/128 bits))
    (Client certificate not present)
    Return-Path: ccrp@bancaintesa.ru
    X-Yandex-Front: mxfront13g.mail.yandex.net
    X-Yandex-TimeMark: 1507026613
    Authentication-Results: mxfront13g.mail.yandex.net; spf=pass (mxfront13g.mail.yandex.net: domain of bancaintesa.ru designates 194.110.202.5 as permitted sender, rule=[ip4:194.110.202.0/24]) smtp.mail=ccrp@bancaintesa.ru
    X-Yandex-Spam: 1
    Received: from MHQMS022.kmb.ru ([fe80::68cd:ec6b:58ab:1208]) by
    mhqms011.kmb.ru ([::1]) with mapi id 14.03.0361.001; Tue, 3 Oct 2017 13:30:12
    +0300
    From: CCRP
    
    Ответить
    1. Максим Зайцев (автор) 05/10/2017 в 22:31
      
      Теперь другое дело. Назар, вы молодец, проявили бдительность и настойчивость, мошенники вас не проведут. Успеха вам!
      
      Ответить
Александр 07/02/2020 в 11:55

Здравствуйте, Максим!
Вы еще не используете rybinsk.tele-scop.ru авторизацию через Яндекс?
Не хотелось бы устраивать свой танец с бубнами, а узнать тонкости настройки этого нововведения от более продвинутого специалиста.

С уважением, Александр.

Ответить

Добавить комментарий