Phenquestions
Arhitektura e-pošte:
Ko uporabnik pošlje e-pošto, e-pošta ne preide neposredno v poštni strežnik na koncu prejemnika; prej gre skozi različne poštne strežnike.
MUA je program na koncu odjemalca, ki se uporablja za branje in sestavljanje e-pošte. Obstajajo različni MUA, kot so Gmail, Outlook itd. Vsakič, ko MUA pošlje sporočilo, gre na MTA, ki dešifrira sporočilo in z branjem informacij o glavi določi lokacijo, ki naj bi jo poslali, in spremeni glavo z dodajanjem podatkov, nato pa jo pošlje MTA na sprejemnem koncu. Zadnji prisoten MTA, tik preden MUA dešifrira sporočilo in ga pošlje MUA na sprejemnem koncu. Zato lahko v glavi e-pošte najdemo informacije o več strežnikih.
Analiza glave e-pošte:
E-poštna forenzika se začne s preučevanjem e-pošte glava saj vsebuje ogromno informacij o e-poštnem sporočilu. Ta analiza zajema tako študijo vsebine kot tudi glavo e-pošte, ki vsebuje informacije o danem e-poštnem sporočilu. Analiza glave e-pošte pomaga pri prepoznavanju večine kaznivih dejanj, povezanih z e-pošto, kot je lažno predstavljanje, neželena pošta, prevara e-pošte itd. Prevara je tehnika, s katero se lahko pretvarjamo, da je nekdo drug, in običajni uporabnik bi za trenutek pomislil, da gre za njegovega prijatelja ali neko osebo, ki jo že pozna. Samo nekdo pošilja e-pošto z lažnega e-poštnega naslova svojega prijatelja in ne, da je njegov račun vdran.
Z analizo e-poštnih glav lahko ugotovimo, ali je e-pošta, ki jo je prejel, z lažnega ali resničnega e-poštnega naslova. Evo, kako izgleda glava e-pošte:
Dostavljeno: [zaščiteno po e-pošti]Prejeto: do 2002: a0c: f2c8: 0: 0: 0: 0: 0 z ID-jem SMTP c8csp401046qvm;
Sreda, 29. julij 2020 05:51:21 -0700 (PDT)
X-prejeto: do 2002: a92: 5e1d :: z ID-jem SMTP s29mr19048560ilb.245.1596027080539;
Sreda, 29. julij 2020 05:51:20 -0700 (PDT)
ARC-tesnilo: i = 1; a = rsa-sha256; t = 1596027080; cv = nobena;
d = google.com; s = lok-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Or2Q ==
Podpis sporočila ARC: i = 1; a = rsa-sha256; c = sproščeno / sproščeno; d = google.com; s = lok-20160816;
h = do: subject: message-id: date: from: mime-version: dkim-signature;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxxTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
Rezultati preverjanja pristnosti ARC: i = 1; mx.google.com;
dkim = prenesite [e-poštno zaščiteno] glavo.s = glava 20161025.b = JygmyFja;
spf = pass (google.com: domena [zaščitena z e-pošto] označuje 209.85.22000 as
dovoljeni pošiljatelj) [e-pošta zaščitena];
dmarc = glava (p = NONE sp = QUARANTINE dis = NONE).od = gmail.com
Povratna pot: <[email protected]>
Prejeto: od mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])
po mx.google.com z SMTPS id n84sor2004452iod.19.2020.07.29.00.00.00
za <[email protected]>
(Google Transport Security);
Sreda, 29. julij 2020 05:51:20 -0700 (PDT)
Prejeto-SPF: pass (google.com: domena [zaščitena z e-pošto] označuje 209.85.000.00
kot dovoljeni pošiljatelj) client-ip = 209.85.000.00;
Rezultati preverjanja pristnosti: mx.google.com;
dkim = prenesite [e-poštno zaščiteno] glavo.s = glava 20161025.b = JygmyFja;
spf = pass (google.com: označuje domena [zaščitena z e-pošto]
209.85.000.00 kot dovoljeni pošiljatelj) [e-pošta zaščitena];
dmarc = glava (p = NONE sp = QUARANTINE dis = NONE).od = gmail.com
Podpis DKIM: v = 1; a = rsa-sha256; c = sproščeno / sproščeno;
d = gmail.com; s = 20161025;
h = različica mime: od: datum: sporočilo-id: tema: do;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
X-Google-DKIM-podpis: v = 1; a = rsa-sha256; c = sproščeno / sproščeno;
d = 1e100.mreža; s = 20161025;
h = x-gm-message-state: mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
Stanje sporočila X-Gm: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
X-Google-Smtp-Vir: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
X-prejeto: do 2002: a05: 0000: 0b :: z ID-jem SMTP v11mr21571925jao.122.1596027079698;
Sreda, 29. julij 2020 05:51:19 -0700 (PDT)
Različica MIME: 1.0
Od: Marcus Stoinis <[email protected]>
Datum: sreda, 29. julij 2020 17:51:03 +0500
ID sporočila: <[email protected]om>
Zadeva:
Za: [e-pošta zaščitena]
Vsebina: večdelna / alternativna; border = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Vrsta vsebine: besedilo / navaden; charset = "UTF-8"
Da bi razumeli informacije o glavi, moramo razumeti strukturiran nabor polj v tabeli.
Navidezno X: To polje je uporabno, če je e-poštno sporočilo poslano več kot enemu prejemniku, kot je skp ali poštni seznam. To polje vsebuje naslov na TO polje, v primeru skp pa polje X-Očitno polje je drugačno. Torej, to polje pove naslov prejemnika, čeprav je e-poštno sporočilo poslano kot cc, bcc ali s kakšnega poštnega seznama.
Povratna pot: Polje povratne poti vsebuje poštni naslov, ki ga je pošiljatelj določil v polju Od.
Prejeto SPF: To polje vsebuje domeno, iz katere prihaja pošta. V tem primeru je to
Prejeto-SPF: pass (google.com: domena [zaščitena z e-pošto] označuje 209.85.000.00 kot dovoljeni pošiljatelj) client-ip = 209.85.000.00;
Razmerje X-neželene pošte: Na sprejemnem strežniku ali MUA je programska oprema za filtriranje neželene pošte, ki izračuna rezultat neželene pošte. Če rezultat neželene pošte preseže določeno omejitev, se sporočilo samodejno pošlje v mapo z vsiljeno pošto. Več MUA uporablja različna imena polj za ocene neželene pošte, kot so Razmerje X-spam, stanje X-spam, zastavica X-spam, raven X-spam itd.
Prejeto: To polje vsebuje naslov IP zadnjega strežnika MTA na koncu pošiljanja, ki nato pošlje e-pošto MTA na koncu prejema. Ponekod je to mogoče videti pod X izvira iz polje.
Glava X-sita: To polje določa ime in različico sistema za filtriranje sporočil. To se nanaša na jezik, ki se uporablja za določanje pogojev za filtriranje e-poštnih sporočil.
Nabori X-spam: To polje vsebuje informacije o naborih znakov, ki se uporabljajo za filtriranje e-poštnih sporočil, kot je UTF itd. UTF je dober nabor znakov, ki ima možnost, da je združljiv z ASCII.
X-razrešen na: To polje vsebuje e-poštni naslov prejemnika ali lahko rečemo naslov poštnega strežnika, na katerega pošiljatelj MDA pošiljatelja. Večino časa, X-dostavljeno do, in to polje vsebuje isti naslov.
Rezultati preverjanja pristnosti: To polje pove, ali je prejeto sporočilo z dane domene minilo DKIM podpisi in Ključi domene podpis ali ne. V tem primeru se.
Rezultati preverjanja pristnosti: mx.google.com;dkim = prenesite [e-poštno zaščiteno] glavo.s = glava 20161025.b = JygmyFja;
spf = pass (google.com: označuje domena [zaščitena z e-pošto]
209.85.000.00 kot dovoljeni pošiljatelj)
Prejeto: Prvo prejeto polje vsebuje informacije o sledovih, ko IP naprave pošlje sporočilo. Prikazalo se bo ime naprave in njen naslov IP. Natančen datum in čas prejema sporočila sta vidna v tem polju.
Prejeto: od mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])po mx.google.com z SMTPS id n84sor2004452iod.19.2020.07.29.00.00.00
za <[email protected]>
(Google Transport Security);
Sreda, 29. julij 2020 05:51:20 -0700 (PDT)
Do, od in predmet: Polja »Do«, »od« in »zadeva« vsebujejo informacije o e-poštnem naslovu prejemnika, e-poštnem naslovu pošiljatelja in zadevi, ki je določena v času pošiljanja e-pošte s strani pošiljatelja. Predmetno polje je prazno, če ga pošiljatelj zapusti tako.
Glave MIME: Za MUA za pravilno dekodiranje, tako da se sporočilo varno pošlje odjemalcu, MIME kodiranje prenosa, MIME vsebina, njena različica in dolžina so pomembna tema.
Različica MIME: 1.0Vrsta vsebine: besedilo / navaden; charset = "UTF-8"
Vsebina: večdelna / alternativna; border = "00000000000023294e05ab94032b"
ID sporočila: Message-id vsebuje ime domene, ki ga je strežnik pošiljatelj dodal enolični številki.
ID sporočila: <[email protected]om>Preiskava strežnika:
Pri tej vrsti preiskave se preučijo dvojniki prenesenih sporočil in dnevniki delavcev, da se loči vir e-pošte. Tudi če stranke (pošiljatelji ali upravičenci) izbrišejo svoja e-poštna sporočila, ki jih ni mogoče obnoviti, jih lahko strežniki (pooblaščenci ali ponudniki storitev) beležijo v velikih delih. Ti pooblaščenci shranijo dvojnik vseh sporočil po prenosu. Poleg tega se dnevniki, ki jih vodijo delavci, lahko koncentrirajo, da sledijo lokaciji osebnega računalnika, ki je odgovoren za izmenjavo e-pošte. V vsakem primeru strežnik proxy ali ponudnik internetnih storitev shranjuje dvojnike dnevnikov e-pošte in strežnika le nekaj časa, nekateri pa morda ne bodo sodelovali s forenzičnimi preiskovalci. Nadalje lahko delavce SMTP, ki shranjujejo podatke, kot so številka Visa in druge informacije o lastniku nabiralnika, uporabijo za razlikovanje posameznikov za e-poštnim naslovom.
Taktika vabe:
V tovrstni preiskavi pošljemo e-poštno sporočilo s http: “" oznaka z virom slike na katerem koli računalniku, ki ga preverijo izpraševalci, se pošlje pošiljatelju preiskovanega e-poštnega sporočila, ki vsebuje pristne (verodostojne) e-poštne naslove. Ko se e-poštno sporočilo odpre, se na strežniku HTTP zabeleži odsek dnevnika, ki vsebuje naslov IP tistega, ki je na koncu prejemnika (pošiljatelja krivca). sledila. V vsakem primeru, če oseba na sprejemnem koncu uporablja strežnik proxy, se izsledi naslov IP strežnika proxy.
Proxy strežnik vsebuje dnevnik, ki ga lahko še naprej uporabljate za sledenje pošiljatelja e-pošte v preiskavi. V primeru, da tudi dnevnik proxy strežnika ni dostopen zaradi neke razlage, lahko preizkuševalci takrat pošljejo grdo e-poštno sporočilo z Vdelani Java Applet, ki deluje v prejemnikovem računalniškem sistemu ali HTML stran z Active X Object izslediti želeno osebo.
Preiskava omrežne naprave:
Omrežne naprave, kot so požarni zidovi, reuterji, stikala, modemi itd. vsebujejo dnevnike, ki jih je mogoče uporabiti za sledenje viru e-pošte. Pri tej vrsti preiskave se ti dnevniki uporabljajo za iskanje vira e-poštnega sporočila. To je zelo zapletena vrsta forenzične preiskave in se uporablja le redko. Pogosto se uporablja, če dnevniki ponudnika proxy ali ponudnika internetnih storitev niso na voljo iz nekega razloga, kot so pomanjkanje vzdrževanja, lenoba ali pomanjkanje podpore ponudnika internetnih storitev.
Vdelani identifikatorji programske opreme:
Nekatere podatke o sestavljavcu e-poštnih zapisov ali arhivov lahko s sporočilom vključi programska oprema za e-pošto, ki jo pošiljatelj uporablja za sestavljanje pošte. Ti podatki se lahko zapomnijo po vrsti glav po meri ali kot vsebina MIME kot oblika TNE. Raziskovanje e-pošte glede teh tankosti lahko odkrije nekatere bistvene podatke o e-poštnih nastavitvah in izbirah pošiljateljev, ki bi lahko podpirali zbiranje dokazov na strani odjemalca. Preiskava lahko odkrije imena dokumentov PST, naslov MAC itd. Na osebnem računalniku, ki se uporablja za pošiljanje e-poštnih sporočil.
Analiza priloge:
Med virusi in zlonamerno programsko opremo se večina pošlje prek e-poštnih povezav. Preverjanje e-poštnih prilog je nujno in ključno pri vsakem pregledu, povezanem z e-pošto. Razlitje zasebnih podatkov je še eno pomembno področje preverjanja. Na voljo so programska oprema in orodja za povrnitev informacij, povezanih z e-pošto, na primer priloge s trdih diskov računalniškega sistema. Za pregled dvomljivih povezav preiskovalci naložijo priloge v spletni peskovnik, na primer VirusTotal, da preverijo, ali je dokument zlonamerna programska oprema ali ne. Kakor koli že, ključnega pomena je, da na vrhu seznama prednostnih nalog upravljate, da ne glede na to, ali gre zapis skozi oceno, na primer VirusTotal, to ni zagotovilo, da je popolnoma zaščiten. Če se to zgodi, je pametno razmišljati o nadaljnjem raziskovanju zapisa v primeru peskovnika, na primer Cuckoo.
Prstni odtisi pošiljatelja pošiljatelja:
Ob pregledu Prejeto polje v glavah je mogoče prepoznati programsko opremo, ki skrbi za e-pošto na koncu strežnika. Po drugi strani pa ob pregledu X-mailer polje, je mogoče prepoznati programsko opremo, ki skrbi za e-pošto na koncu odjemalca. Ta polja v glavi prikazujejo programsko opremo in njene različice, uporabljene na koncu stranke za pošiljanje e-pošte. Te podatke o odjemalskem osebnem računalniku pošiljatelja je mogoče uporabiti za pomoč izpraševalcem pri oblikovanju močne strategije, zato so te vrstice na koncu zelo dragocene.
Orodja za forenziko po e-pošti:
V zadnjem desetletju je bilo ustvarjenih nekaj orodij ali programske opreme za preiskovanje krajev zločinov po e-pošti. Toda večina orodij je bila ustvarjena ločeno. Poleg tega večina teh orodij ne bi smela rešiti določenega vprašanja, povezanega z nepravilnostmi v digitalnem računalniku ali računalniku. Namesto tega naj bi iskali ali obnovili podatke. Izboljšali so se forenzična orodja, ki olajšajo delo preiskovalca, v internetu pa je na voljo veliko izjemnih orodij. Nekatera orodja, ki se uporabljajo za forenzično analizo e-pošte, so navedena spodaj:
EmailTrackerPro:
EmailTrackerPro preiskuje glave e-poštnega sporočila, da prepozna IP naslov naprave, ki je poslala sporočilo, tako da je mogoče najti pošiljatelja. Hkrati lahko sledi različnim sporočilom in jih učinkovito spremlja. Lokacija naslovov IP je ključni podatek za odločanje o stopnji nevarnosti ali legitimnosti e-poštnega sporočila. To izjemno orodje se lahko drži mesta, iz katerega je verjetno prišlo e-poštno sporočilo. Prepozna ponudnika internetnih storitev pošiljatelja in poda kontaktne podatke za nadaljnji pregled. Pravi način pošiljateljevega IP-naslova je opisan v krmilni tabeli, ki vsebuje dodatne podatke o območju, ki pomagajo določiti dejansko območje pošiljatelja. Element poročanja o zlorabi v njem lahko zelo dobro uporabimo za poenostavitev nadaljnjega pregleda. Da bi zaščitil pred neželeno e-pošto, preverja in preverja e-pošto na črnih seznamih neželene pošte, na primer Spamcops. Podpira različne jezike, vključno z japonskim, ruskim in kitajskim jezikovnim filtrom, skupaj z angleščino. Pomemben element tega orodja je zloraba razkritja, ki lahko naredi poročilo, ki ga je mogoče poslati ponudniku storitev (ISP) pošiljatelja. Nato lahko ponudnik internetnih storitev poišče lastnike računov in pomaga pri zaustavitvi neželene pošte.
Xtraxtor:
To izjemno orodje Xtraxtor je narejeno za ločevanje e-poštnih naslovov, telefonskih številk in sporočil iz različnih formatov datotek. Seveda razlikuje privzeto območje in hitro preuči e-poštne podatke za vas. Naročniki lahko to storijo brez večjega izvlečka e-poštnih naslovov iz sporočil in celo iz prilog datotek. Xtraxtor znova vzpostavi izbrisana in neočiščena sporočila iz številnih konfiguracij nabiralnika in poštnih računov IMAP. Poleg tega ima vmesnik, ki se ga je enostavno naučiti, in dobro funkcijo pomoči za poenostavitev uporabniških dejavnosti, s hitrim e-poštnim sporočilom, pripravo motornih in odstranjevalnih funkcij pa prihrani veliko časa. Xtraxtor je združljiv z Macovimi datotekami MBOX in sistemi Linux in nudi zmogljive funkcije za iskanje ustreznih informacij.
Advik (orodje za varnostno kopiranje e-pošte):
Advik, orodje za varnostno kopiranje e-pošte, je zelo dobro orodje, ki se uporablja za prenos ali izvoz vseh e-poštnih sporočil iz nabiralnika, vključno z vsemi mapami, kot so poslani, osnutki, mapa »Prejeto«, neželena pošta itd. Uporabnik lahko brez posebnega truda prenese varnostno kopijo katerega koli e-poštnega računa. Pretvorba varnostne kopije e-pošte v različne oblike datotek je še ena odlična lastnost tega izjemnega orodja. Njegova glavna značilnost je Vnaprejšnji filter. S to možnostjo lahko prihranite ogromno časa tako, da sporočila, ki jih potrebujemo, v kratkem času izvozite iz nabiralnika. IMAP Funkcija omogoča pridobivanje e-poštnih sporočil iz skladišč v oblaku in se lahko uporablja pri vseh ponudnikih e-poštnih storitev. Advik se lahko uporablja za shranjevanje varnostnih kopij želene lokacije in podpira več jezikov skupaj z angleščino, vključno z japonsko, špansko in francosko.
Systools MailXaminer:
S pomočjo tega orodja lahko stranka spreminja svoje lovske kanale glede na situacijo. Omogoča strankam, da si ogledajo sporočila in povezave. Še več, to forenzično orodje za e-pošto poleg tega ponuja celovito pomoč pri znanstvenem pregledu e-pošte tako na delovnem področju kot tudi pri upravljanju elektronske pošte. Izpraševalcem omogoča legitimno obravnavo več kot enega primera. Podobno lahko s pomočjo tega orodja za analizo e-pošte strokovnjaki celo vidijo podrobnosti klepeta, opravijo pregled klicev in si ogledajo podrobnosti sporočil med različnimi odjemalci aplikacije Skype. Glavne značilnosti te programske opreme so, da podpira več jezikov, skupaj z angleščino, vključno z japonščino, španščino in francoščino ter kitajščino, in oblika, v kateri povrne izbrisana sporočila, je sprejemljiva na sodišču. Omogoča pogled upravljanja dnevnika, v katerem je prikazan dober pregled vseh dejavnosti. Systools MailXaminer je združljiv z dd, e01, zip in veliko drugih formatov.
Pritožba:
Obstaja orodje, imenovano Pritožujte se ki se uporablja za poročanje o komercialni pošti in objavah v botnetu, pa tudi oglase, kot so "hitro zasluži", "hitro zasluži" itd. Adcomplain sam izvede analizo glave pošiljatelja e-pošte, potem ko identificira takšno pošto in jo sporoči ponudniku internetnih storitev pošiljatelja.
Zaključek:
E-naslov uporablja skoraj vsaka oseba, ki uporablja internetne storitve po vsem svetu. Prevaranti in kiberkriminalci lahko ponarejajo glave e-poštnih sporočil in anonimno pošiljajo e-poštna sporočila z zlonamerno vsebino in vsebino goljufij, kar lahko privede do ogrožanja podatkov in vdorov. In to je tisto, kar dodaja pomembnost forenzične preiskave po elektronski pošti. Kiber kriminalci uporabljajo več načinov in tehnik, da lažejo o svoji identiteti, kot so:
- Prevara:
Da bi skrili lastno identiteto, slabi ljudje ponarejajo glave e-pošte in jo napolnijo z napačnimi podatki. Ko se prevara e-pošte kombinira s prevarami IP, je zelo težko izslediti dejansko osebo, ki stoji za tem.
- Nepooblaščena omrežja:
Omrežja, ki so že ogrožena (vključno z žičnim in brezžičnim omrežjem), se uporabljajo za pošiljanje neželene e-pošte za skrivanje identitete.
- Releji odprte pošte:
Napačno konfiguriran poštni rele sprejema pošto iz vseh računalnikov, vključno s tistimi, iz katerih ne bi smel sprejemati. Nato ga posreduje drugemu sistemu, ki bi prav tako moral sprejemati pošto iz določenih računalnikov. Ta vrsta poštnega releja se imenuje odprti poštni rele. Tovrstni rele prevaranti in hekerji uporabljajo za skrivanje identitete.
- Odpri proxy:
Stroj, ki uporabnikom ali računalnikom omogoča povezavo prek njega z drugimi računalniškimi sistemi, se imenuje a proxy strežnik. Obstajajo različne vrste proxy strežnikov, kot so proxy strežniki podjetja, transparentni proxy strežniki itd. odvisno od vrste anonimnosti, ki jo zagotavljajo. Odprti proxy strežnik ne sledi zapisom uporabniških dejavnosti in ne vodi dnevnikov, za razliko od drugih proxy strežnikov, ki vodijo evidence uporabniških dejavnosti s pravilnimi časovnimi žigi. Te vrste proxy strežnikov (odprti proxy strežniki) zagotavljajo anonimnost in zasebnost, kar je dragoceno za prevaranta ali slabo osebo.
- Anonimizatorji:
Anonimizatorji ali ponovno prodajalci so spletna mesta, ki delujejo pod krinko zaščite zasebnosti uporabnika na internetu in jih naredijo anonimne, tako da namerno spuščajo glave iz e-pošte in ne vzdržujejo dnevnikov strežnika.
- SSH predor:
V internetu predor pomeni varno pot za podatke, ki potujejo v nezaupljivem omrežju. Tuneliranje je mogoče izvesti na različne načine, ki so odvisni od uporabljene programske opreme in tehnike. Z uporabo funkcije SSH je mogoče vzpostaviti tuneliranje posredovanja vrat SSH in ustvariti šifriran predor, ki uporablja povezavo protokola SSH. Prevaranti uporabljajo SSH tuneliranje pri pošiljanju e-pošte, da bi skrili svojo identiteto.
- Botneti:
Izraz bot, pridobljen iz "ro-bot", se v svoji običajni strukturi uporablja za prikaz vsebine ali nabora vsebin ali programa, namenjenega izvajanju vnaprej določenih del znova in znova in posledično po namernem aktiviranju ali okužbi sistema. Kljub dejstvu, da so roboti začeli kot koristen element za izvajanje mučnih in dolgočasnih dejavnosti, vendar jih zlorabljajo v zlonamerne namene. Boti, ki se uporabljajo za mehanizirano izvajanje resničnih vaj, se imenujejo prijazni boti, tisti, ki so namenjeni zlorabi, pa so znani kot zlonamerni roboti. Botnet je sistem botov, ki ga omejuje botmaster. Botmaster lahko svojim nadzorovanim botom (malignim botom), ki se izvajajo na spodkopanih osebnih računalnikih po vsem svetu, lahko pošlje e-pošto na nekatera dodeljena mesta, pri tem pa prikrije svoj značaj in izvede elektronsko prevaro ali elektronsko prevaro.
- Internetne povezave, ki jih ni mogoče izslediti:
Internetna kavarna, univerzitetni kampus, različne organizacije uporabnikom omogočajo dostop do interneta z deljenjem interneta. V tem primeru, če se ne vodi ustrezen dnevnik dejavnosti uporabnikov, je zelo enostavno narediti nezakonite dejavnosti in prevare po e-pošti ter se izogniti.
Forenzična analiza e-pošte se uporablja za iskanje dejanskega pošiljatelja in prejemnika e-pošte, datuma in časa, ko je prejeto, ter informacij o vmesnih napravah, ki sodelujejo pri dostavi sporočila. Na voljo so tudi različna orodja za pospešitev opravil in enostavno iskanje želenih ključnih besed. Ta orodja analizirajo glave e-poštnih sporočil in forenzičnemu preiskovalcu v hipu dajo želeni rezultat.
