PayPal 怎么能如此轻易地欺骗电子邮件,说它来自其他人?

信息安全 电子邮件
2021-08-28 23:52:44

当我在 PayPal 中收到付款时,它会向我发送一封电子邮件(如下图所示)。问题是电子邮件显示来自汇款人的电子邮件地址,而不是来自 PayPal 本身,即使真正的发件人是 PayPal。

来自贝宝的电子邮件

以下是我在 Gmail 中选择“显示原件”时出现的文本:

From: "contact@wxxxxxxxxx.com" <contact@wxxxxxxxxx.com>  
Sender: sendmail@paypal.com

所以你可以看到真正的发件人是贝宝。

如果 PayPal 可以如此轻松地欺骗电子邮件发件人,而 Gmail 无法识别它,是否意味着任何人都可以欺骗电子邮件发件人地址,而 Gmail 不会识别它?

当我自己使用 telnet 向 Gmail 发送电子邮件时,电子邮件带有警告:

此消息可能不是由 xxxxx@xxxxx.com 发送的

这是一个安全问题吗?因为如果我习惯了 PayPal 中的付款电子邮件似乎来自汇款人的电子邮件而不是来自 PayPal,那么汇款人可以通过从他的电子邮件中发送类似的消息来欺骗自己的付款,我可能会认为这是真正的付款。

这是 PayPal 特有的东西,还是有人能像这样欺骗 Gmail?如果有人可以,那么 PayPal 用来欺骗 Gmail 的确切方法是什么?

4个回答

当在任何地方收到邮件时,这是一个关于通信如何进行的戏剧化。

背景:一个电子邮件服务器,单独在一个海湾,在莫斯科的某个地方。服务员只是懒洋洋地坐在那里,一脸期待。

服务员:
啊,我受奴役的日子很长,
这将在永远孤独中度过,
'从外环呼啸而来
,外来消息的迅速传递者。

打开一个连接。

服务器:
传入的客户端!
或许,我的监护人将被委托给我一封邮件
,我可以将其作为最美丽的骏马传达
给收件人,并将完整的故事带给收件人。

220 mailserver.kremlin.ru ESMTP Postfix (Ubuntu)

欢迎来到我的领域,网络流浪者,
了解我是一个强大的邮件服务器。
在这一天,你将如何
被称呼 需要上升,让你的名字被猜到吗?

客户:

HELO whitehouse.gov

向你致敬,网络的守护者,
知道我是从苍白的建筑中诞生的。

服务器:

250 mailserver.kremlin.ru

传入的 IP 地址通过 DNS 解析为“nastyhackerz.cn”。

尊贵的使者,我是你的命令,
即使你的声音来自
亚洲山脉之外的炎热平原,
我也会满足你最脆弱的要求。

客户:

MAIL FROM: barack.obama@whitehouse.gov
RCPT TO: vladimir.putin@kremlin.ru
Subject: biggest bomb

I challenge you to a contest of the biggest nuclear missile,
you pathetic dummy ! First Oussama, then the Commies !
.

这是我的信息,供你发送,
并在以太上忠实地传递;
注意地址和发件人姓名
应显示在另一端。

服务器:

250 Ok

这么写,就这么写。
消息发出,到俄罗斯去了。

服务器按原样发送电子邮件,仅添加“已接收:”标头以标记客户端在其第一个命令中提供的名称。然后第三次世界大战开始了。结束。

评论:电子邮件没有任何安全性。所有的发送者和接收者名称都是指示性的,并且没有可靠的方法来检测欺骗(否则我的垃圾邮件会少得多)。

任何电子邮件“发件人”地址都可以被欺骗,因为您可以更改您喜欢的任何传出数据。你不需要欺骗gmail。话虽如此,当标记为从一个组织发送的电子邮件来自另一个域时,gmail 可以发现明显的问题。

在您的示例中,您也不能确定原始电子邮件是否来自 Paypal - 发件人位也可能被欺骗!

如果您想要某种身份验证来防止这种情况发生,您需要一种签名或加密电子邮件的方法,或者进行带外检查以确认电子邮件来自您的朋友(正如您在评论中提到的那样)

说真的 - 不要相信任何电子邮件。不要点击电子邮件中的任何链接尤其是来自 Paypal 等高价值目标。相反,您应该像往常一样登录并检查他们是否向您发送了一些东西。

正如其他人所提到的,任何人都可以伪造任何电子邮件地址,包括“发件人”字段 - 没有技术原因贝宝甚至必须在发件人字段中包含自己的电子邮件,他们这样做只是因为他们是一家诚实的公司。不要指望垃圾邮件发送者会这么好。

不过,顺便提一下,gmail 支持DKIM,它允许您验证 Paypal 电子邮件是否真的来自 Paypal。

要启用它:单击右上角的齿轮->邮件设置->实验室->启用“已验证发件人的身份验证图标”

(gmail 实验室图片)

现在签名的 Paypal 电子邮件旁边会显示一个小钥匙图标:

(示例图片)

它很像邮政邮件。任何人都可以向您发送一封带有信笺抬头的信,该信看起来像您银行的当地分行。您可以采取一些措施来捕捉此类冒充者 - 您可以确保邮戳来自正确的城市。如果您的银行总是使用批量邮件而不是单个邮票,您可能会注意到,等等。但您可能从不费心检查这些东西,即使您这样做了,也不足以验证这封信来自您的银行。

邮政邮件和电子邮件之间的主要区别在于,使用电子邮件,伪造更加实用 - 它可以设计一次,然后以几乎零成本重复。

这意味着所有伪造和对策的规模都更大,并且(除非您像我一样1)一些假邮件会到达您的收件箱,您可以手动将其过滤掉。

底线,就像您不会拨打信件上的电话号码来“验证您的帐户信息”(例如您的 SSN 和信用卡),您也不应该点击电子邮件中的链接,并期望登录屏幕或任何形式安全地将私人信息发送到您的银行。如果这样做,您可能会发现自己将凭据发送给冒名顶替者,而从未意识到这一点。

1.我清除了所有垃圾邮件。我有自己的域名。我为每个联系人提供了他们自己的电子邮件地址,所有这些都进入了我的一个收件箱。这样,如果 Bob 在他的计算机上感染了病毒,并且我开始收到一些低级垃圾邮件,那么我可以告诉 Bob 更改他的电子邮件密码并开始使用新的电子邮件地址来发送他给我的电子邮件。新的电子邮件地址不会收到任何垃圾邮件,我可以删除旧的,因为只有 Bob 在使用它。

我不必去告诉我的银行、我的其他伙伴、我的供应商、我的同事我的电子邮件地址发生了变化,因为每个人都有自己的地址。(我什至不必更新 StackExchange 和 Gravater。)这对我有好处(没有垃圾邮件),对 Bob 有好处(他知道他有“病毒或其他东西” - 有时我可以直接,但必须是之后小心不要出错),对我的其他朋友有好处(我从不抱怨我在过去 24 小时内收到了多少封电子邮件,并解释了为什么我没有回复他们)

其它你可能感兴趣的问题
上一篇是否已在数学上证明防病毒软件无法检测到所有病毒? 下一篇我是否需要加密公司网络内的连接?