كيفية كشف الرسائل الاحتيالية Spam/Scam

بواسطة أحمد علاء 4/25/2014 10:57:00 PM

الرسائل الاحتيالية Scam/Spam هي رسائل غير مرغوب فيها ترسل بعشوائية أو استهدافا لفئة معينة وهي من أكثر المخاطر الأمنية انتشارا ويقع الكثيرون ضحية لها حتى البعض من ذوى الخبرة ومن أخطر تلك الأساليب هو البريد الإلكترونى المزور(Spoofed Email) الذى يظهر على أنه من مصدر موثوق رغم أنه ليس كذلك, والأمر يعتمد علي مهارة مرسل تلك الرسائل (Spammer) ومهارة مستقبلها فإذا لم تكن مهارتك كافية لكشفها فقد تقع بسهولة ضحية لها وتتفاوت أهداف تلك الرسائل بين الدعاية والمضايقات والعبث والنصب والاختراق والتسلية!.. مما يعنى أنك معرض في أي وقت لها حيث أنها ليست بالأمر صعب التنفيذ وأهدافه عديدة وهو أسلوب مجدى في ظل عدم الخبرة المنتشرة.
سنوضح في هذا الدرس طريقة مجدية لكشف البريد الاحتيالى لمعرفة مصدره الحقيقى ولكن لا نقول أنها طريقة فعالة بنسبة 100% لكشف تلك الرسائل فلا يوجد فى الحماية أو الاختراق ما هو مؤكد 100%.

والطريقة كالتالي:-
- تعتمد الطريقة علي إظهار مقدمة الرسالة أو ما يسمي Header ومن ثم معرفة خادم
- البريد المرسل SMTP ومعرفة هل هي فعلا من المصدر الصحيح أم لا؟

أولا : قم بفتح الإيميل ثم قم بالضغط علي زر الإعدادات ومن ثم اختيار Show header أو عرض (الرسالة الأصلية)

- إن كنت تستخدم بريد جوجل Gmail يمكنك القيام بذلك كالتالي : قم بفتح الرسالة (Email) واختر إظهار الرسالة الأصلية كما يلي :

 

Mail header


أو كما يلي :

 

Mail header



أما إن كنت تستخدم بريد Yahoo فيمكنك القيام بذلك بالضغط علي الرسالة بالزر الأيمن بالفأرة حتي بدون فتحها واختيار Show header كما يلي:



Mail header



وستجد الأمور متشابهة في معظم خوادم البريد .

بذلك ستظهر الرسالة إليك بشكلها القياسي الأصلي وتحتوي علي المعلومات الخاصة بها ومن هذه المعلومات سنقوم بالتأكد من مصدر الرسالة بمعرفة خادم البريد SMTP الذي أرسل تلك الرسالة وبذلك نعرف هل أرسلت من المصدر الحقيقي أم مصدر مزيف حيث أن عنوان الراسل Sender Mail يمكن تزييفه بكل سهولة أما خادم البريد SMTP فمن الصعب تزييفه.

بالنسبة لبريد جوجل ستظهر الرسائل الأصلية بهذا الشكل قم بالانتقال إلي السطر الموضح في الصورة التالية :
- عند الخانة Received : from في مقدمة البريد أنظر في قيمتها ستجد عنوان URL لخادم البريد SMTP
- الأول الذي أرسل الرسالة فالرسالة قد ترسل علي عدة مراحل وتمر بأكثر من خادم

- بعد ذلك قم بفحص كافة قيم الخانات Received: From وقارن قيمهم


SMTP URL

 

إذا وجدت عناوين ال URL الموجود في الخانات متطابقة فهذا يعني أنهم جاؤوا من مصدر واحد

أم إن لم تكن متطابقة فقم بالتحقق من كل خادم علي حدي لأن هذا قد يعني وجود تزوير في قيمة أحدهم

(ستفهم كيف تتحقق من الخوادم بالأسفل)

أما بالنسبة لبريد Yahoo فستظهر معلومات البريد كاملة كما يلي ابحث فيها عن نفس السطر السابق



SMTP URL


انظر في معلومات هذا السطر ستتمكن من خلاله معرفة خادم البريد المرسل فإذا كان البريد مرسل من المصدر الأصلي ستعلم هذا بكل سهولة عن طريق عنوان الخادم URL

حيث تكون نهايته عادة تحتوي علي اسم الدومين الخاص بالموقع المسؤول عن خادم البريد فمثلا Yahoo يكون بمثل هذا الشكل nm33-vm3.bullet.mail.bf1.yahoo.com

وطبعا قد يتغير خادم البريد فشركات البريد الكبيرة لديها الكثير من الخوادم لكن ما يهمنا هنا هو العنوان الأساسي للخادم أي Yahoo.com في نهاية عنوان خادم البريد

وكذلك خوادم جوجل ستجدها بمثل هذا الشكل mail-qa0-f65.google.com
____________

أما إن لم تجد خادم البريد عنوانه تابع للمؤسسة المتوقع أن يكون تابعا لها
حينها قم بفتح الدوس Dos بالضغط علي زري Winkey+R
ثم كتابة الامر cmd سيتم فتح الدوس قم بكتابة الأمر nslookup واضغط enter
بعد ذلك اكتب set q=mx واضغط enter

بعد ذلك قم بكتابة عنوان خادم البريد في الدوس (ويمكنك إدراجة بالضغط بالزر الأيمن واختيار Paste) واضغط enter ستظهر لك معلومات الخادم ويمكنك منها معرفة الخادم الرئيسي الذي يتبعه خادم البريد من الخانة name server التي ستظهر بعد إجراء الأمر فإن كان الخادم تابعا فعلا للجهة المتوقعة ستلاحظ ذلك من عنوان ال URL.

كما يظهر هنا


nslookup

________________________

ملحوظة لمستخدمي الفيسبوك إذا أرسل أحدهم رسالة إليك ووجدت العلامة الموضحة بالصورة بالأسفل

أحذر فغالبا هي رسالة spam تنتحل حساب أحد أصدقائك أو معارفك

fb spam
_____________

*طبعا يمكنك عمل هذه الخطوات فقط في الوقت الضروري إن كنت تمل بسرعة مثل رسالة إعادة تعيين كلمة السر

أو تسجيل الدخول أو رسالة مصيرية من أحدهم أو أي حالة تراها تستحق أو حتي كل الرسائل

*إن كانت هناك إحدي النقاط في الدرس غير واضحة فنرجوا ألا تترددوا في السؤال.