Lurer du på hvem som er på jakt etter ditt brukernavn og passord på f.eks PayPal? Vi viser deg hvordan du finner en anonym avsender.

Det er mulig å sende falske og tildels anonyme e-poster på mange måter. I Outlook Express kan man velge avsenderemail når man oppretter en konto. Man kan kommunisere direkte med en mailserver via port 25, eller man kan bruke PHP sin mail()-funksjon. Men hvordan finner man ut hvem som egentlig sendte e-posten?

Det kan ofte være nyttig å finne ut hvem avsender av en e-post er, uansett om man vil rapportere vedkommende for spam, eller bare er nysgjerrig. Senest i morges fikk jeg en e-post fra “no-reply@paypal.com” om at kontoen min er låst. Dermed måtte jeg sende over brukernavn og passord, for å få kontoen åpnet igjen. Som den drevne internettbrukeren jeg er, gikk den rett i søppelspannet:

Dear
PayPal client

Closing Accounts and Limiting Account Access

This is your official notification that your account has been
Limited. We recently reviewed your credit card and it seems that you
are using the same credit card for 2 accounts. As you can read in our
User Agreement ( section 5.11 ) opening multiple accounts is strictly
forbidden. You are now requested to provide information relevant to
your account. PayPal will investigate the matter promptly and if the
investigation is in your favor, we will restore your account.

E-posten så tilsynelatende ut til å komme ifra “no-reply@paypal.com”, og lenket videre til en annen URL. Ganske sleipt. Det triste er at mange folk trykker videre på lenken og skriver inn sine opplysninger, uten anelse om hva de har gjort.

Men la oss nå komme tilbake til saken. Vi vil altså finne ut hvem som egentlig sendte deg en slik falsk e-post.

Hvem sendte e-posten?

Hver gang en e-post blir sendt, blir det vedlagt en rekke headers. For eksempel sendte jeg en falsk e-post til meg selv nå nettopp. Om du bruker Hotmail eller Live, kan du høyreklikke på e-posten, og trykke “Vis meldingskilde”. Dette er altså headerene i e-posten. Du vil få opp noe slikt:

X-Message-Delivery: Vj0xLjE7dXM9MDtsTA7YT0wO0Q9MjtTQ0w9NA==
X-Message-Status: s3:0
X-SID-PRA: no-reply@paypal.com
X-SID-Result: SoftFail
X-Message-Info: 6sSXyD95QIJhwkdrq+IVVI/wv/bFm039fbHgBuwcMqLY6+bdt88uN3/j+fwfguNIVjIkJ8I2JAO6DkYE2Pct7anv
Received: from web2.noyos.info ([70.84.176.98]) by bay0-mc5-f7.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2668);
Wed, 25 Mar 2009 08:56:30 -0700
Received: from skogtrol by web2.noyos.info with local (Exim 4.69)
(envelope-from )
id 1LmVSs-00019e-C4
for verdensbeste@hotmail.com; Wed, 25 Mar 2009 16:56:26 +0100
To: verdensbeste@hotmail.com
Subject: Account has been closed
X-PHP-Script: skogtrollet.com/poc/email_spoof/send.php for 12.234.67.89
From: no-reply@paypal.com
Content-type: text/html; charset=utf-8
Message-Id:
Date: Wed, 25 Mar 2009 16:56:26 +0100
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname – web2.noyos.info
X-AntiAbuse: Original Domain – hotmail.com
X-AntiAbuse: Originator/Caller UID/GID – [506 32002] / [47 12]
X-AntiAbuse: Sender Address Domain – web2.noyos.info
X-Source: /usr/php4/bin/php
X-Source-Args: /usr/php4/bin/php
X-Source-Dir: skogtrollet.com:/public_html/poc/email_spoof
Return-Path: skogtrol@web2.noyos.info
X-OriginalArrivalTime: 25 Mar 2009 15:56:30.0225 (UTC) FILETIME=[432DE010:01C9AD62]

You need to verify your account. Send username and password to “evil_user@satan.no”.

Det er i disse headerene den nyttige informasjonen ligger. Bruker du Gmail, åpner du selve e-posten og trykker på den lille blå pilen oppe til høyre, som er til høyre for “Reply”-knappen. Trykk deretter på “Show original”.

Hva skal jeg se etter?

I dette tilfellet, er det denne som er interessant:
X-PHP-Script: skogtrollet.com/poc/email_spoof/send.php for 12.234.67.89

Ut i fra denne informasjonen, kan vi finne ut at den falske e-posten er sendt via PHPs mail()-funksjon, og at IP-adressen til vedkommende er 12.234.67.89.

Deretter kan man for eksempel bruke http://dnsstuff.com til å finne ut hvor IP-en kommer ifra. Er du heldig kan det være en veldig nøyaktig posisjon for IP-adressen du får.

Kan jeg finne flere opplysninger?

Man kan dessverre ikke (eller heldigvis?) finne ut av ting som navn, adresse eller telefonnummer, kun ved hjelp av IP-adressen. Dette er det bare politiet som kan gjøre, om de krever dette av internettleverandøren (ISP-en) til vedkommende.