假的詐騙郵件能亂真到什麽程度?
最近收到一封所謂 service@paypal.com 發來的郵件,最後經查是詐騙郵件.
這樣假的郵件能亂真到什麽程度?讓我們看看。
1.)eMail 的內容(Body)可以同真的完全一樣,拷貝HTML就行。鏈接(LINK)可以在外觀上同真的完全一樣;但你按下去就進假的網站。
懂HTML的人知道這是:
http://www.paypal.com
2.)寄信人地址(FROM EMAIL ADDRESS)可以同真的完全一樣。懂POP/SMTP的人知道,大多郵件服務器是不管這些的。看起來寄信人地址在郵件頭中,從 POP/SMTP 來看,都在 DATA 中。不信你試一下:
C:\>telnet mail.yourmailserver.com 25
220 mail.yourmailserver.com ESMTP Postfix
helo microsoft.com
250 mail.yourmailserver.com
mail from: billgates@microsoft.com
250 Ok
rcpt to: you@yourcompany.com
250 Ok
data
354 End data with.
Subject: test email
From: BillAndGates@microsoft.com
To: YouAnother@yourcompany.com
This is body and type something here and there.
.
250 Ok: queued as 3436749C830
quit
3.)eMail的報頭裏 Received 是郵件的傳遞情況。我就常看這個。最後一行 Received 是郵件的出處。這裏的 IP 一般是對的;但若詐騙郵件服務器把原始郵件寫得同轉發郵件一樣的話,你就不知道從哪行開始是假的。
Received: from 80.154.33.180 ([80.154.33.180]) by bay0-mc1-f14.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2444); Fri, 16 Feb 2007 04:47:38 -0800
Received: from quqlqnms8.service.paypal.com (quqlqnms8.service.paypal.com [128.235.17.2]) by with SMTP; Fri, 16 Feb 2007 08:46:57 -0400
實際上 [128.235.17.2] 的 DNS 名是 this-address-spoofed.spam-did-not-originate-here.not-a-mail-relay.block-address-locally-if-needed.njit.edu
[80.154.33.180] 的 DNS 名是 kreta180.myserver.t-online.de => 這是這詐騙郵件的源頭。
bay0-mc1-f14.bay0.hotmail.com 是 [65.54.244.22], 不是 [80.154.33.180]
quqlqnms8.service.paypal.com 和 service.paypal.com 都不存在,paypal.com 的郵件服務器是 lore.ebay.com & data.ebay.com
4.)有人說
真的郵件是: Dear <你的名字>
而假的是: Dear valued PayPal member
真的郵件是 To: <你的EMAIL地址>
而假的是: To: 多個地址或不是你的EMAIL地址
我隻能說這是造假的技術不高而已。說來慚愧,我也是從這和 WEB 的 URL 不對,發現這是詐騙郵件的。 最後要說的是,不要相信電子郵件! WEB 上的 DOMAIN NAME 才是可以值得信賴的。(條件是你用了真的對的 DNS! )
用FIREFOX代替IE,它在這件事上幫了我,提醒了我。 附上詐騙郵件的頭和內容(wenxuecity.com上不行)。在GOOGLE搜索了一把,早在2005年就有了這paypal的詐騙郵件了。
X-Message-Status: n:0X-SID-PRA: service@paypal.comX-SID-Result: FailX-Message-Info: LsUYwwHHNt11XF8aUcc1zfLJNe5ixqFSsWq9hM4i6PE=Received: from 80.154.33.180 ([80.154.33.180]) by bay0-mc1-f14.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2444); Fri, 16 Feb 2007 04:47:38 -0800Received: from quqlqnms8.service.paypal.com (quqlqnms8.service.paypal.com [128.235.17.2]) by with SMTP; Fri, 16 Feb 2007 08:46:57 -0400From: "service@paypal.com" Reply-To: "service@paypal.com" Subject: Alert: Update Your Online Billing InformationTo: yuflofeaaaa45@hotmail.comCc: yugoigo@hotmail.com, yugyug66@hotmail.com, yuhaian@hotmail.com, yuhangren@hotmail.comMessage-ID: <5508995906771.18620451694323848173@service.paypal.com>X-Mailer: Date: Fri, 16 Feb 2007 10:47:57 -0200Organization: Mime-Version: 1.0Content-Type: multipart/alternative; boundary="=====255630263525664=_"Return-Path: service@paypal.comX-OriginalArrivalTime: 16 Feb 2007 12:47:38.0685 (UTC) FILETIME=[A3CE16D0:01C751C8]
This is a multi-part message in MIME format.
--=====255630263525664=_Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: 7BitContent-Disposition: inline
When , .Any can , but it takes a real to .Where we can our .
--=====255630263525664=_Content-Type: text/html; charset=ISO-8859-1
最近收到一封所謂 service@paypal.com 發來的郵件,最後經查是詐騙郵件.
這樣假的郵件能亂真到什麽程度?讓我們看看。
1.)eMail 的內容(Body)可以同真的完全一樣,拷貝HTML就行。鏈接(LINK)可以在外觀上同真的完全一樣;但你按下去就進假的網站。
懂HTML的人知道這是:
http://www.paypal.com
2.)寄信人地址(FROM EMAIL ADDRESS)可以同真的完全一樣。懂POP/SMTP的人知道,大多郵件服務器是不管這些的。看起來寄信人地址在郵件頭中,從 POP/SMTP 來看,都在 DATA 中。不信你試一下:
C:\>telnet mail.yourmailserver.com 25
220 mail.yourmailserver.com ESMTP Postfix
helo microsoft.com
250 mail.yourmailserver.com
mail from: billgates@microsoft.com
250 Ok
rcpt to: you@yourcompany.com
250 Ok
data
354 End data with
Subject: test email
From: BillAndGates@microsoft.com
To: YouAnother@yourcompany.com
This is body and type something here and there.
.
250 Ok: queued as 3436749C830
quit
3.)eMail的報頭裏 Received 是郵件的傳遞情況。我就常看這個。最後一行 Received 是郵件的出處。這裏的 IP 一般是對的;但若詐騙郵件服務器把原始郵件寫得同轉發郵件一樣的話,你就不知道從哪行開始是假的。
Received: from 80.154.33.180 ([80.154.33.180]) by bay0-mc1-f14.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.2444); Fri, 16 Feb 2007 04:47:38 -0800
Received: from quqlqnms8.service.paypal.com (quqlqnms8.service.paypal.com [128.235.17.2]) by with SMTP; Fri, 16 Feb 2007 08:46:57 -0400
實際上 [128.235.17.2] 的 DNS 名是 this-address-spoofed.spam-did-not-originate-here.not-a-mail-relay.block-address-locally-if-needed.njit.edu
[80.154.33.180] 的 DNS 名是 kreta180.myserver.t-online.de => 這是這詐騙郵件的源頭。
bay0-mc1-f14.bay0.hotmail.com 是 [65.54.244.22], 不是 [80.154.33.180]
quqlqnms8.service.paypal.com 和 service.paypal.com 都不存在,paypal.com 的郵件服務器是 lore.ebay.com & data.ebay.com
4.)有人說
真的郵件是: Dear <你的名字>
而假的是: Dear valued PayPal member
真的郵件是 To: <你的EMAIL地址>
而假的是: To: 多個地址或不是你的EMAIL地址
我隻能說這是造假的技術不高而已。說來慚愧,我也是從這和 WEB 的 URL 不對,發現這是詐騙郵件的。 最後要說的是,不要相信電子郵件! WEB 上的 DOMAIN NAME 才是可以值得信賴的。(條件是你用了真的對的 DNS! )
用FIREFOX代替IE,它在這件事上幫了我,提醒了我。 附上詐騙郵件的頭和內容(wenxuecity.com上不行)。在GOOGLE搜索了一把,早在2005年就有了這paypal的詐騙郵件了。
X-Message-Status: n:0X-SID-PRA: service@paypal.com
This is a multi-part message in MIME format.
--=====255630263525664=_Content-Type: text/plain; charset=ISO-8859-1Content-Transfer-Encoding: 7BitContent-Disposition: inline
When , .Any can , but it takes a real to .Where we can our .
--=====255630263525664=_Content-Type: text/html; charset=ISO-8859-1
選擇“Disable on www.wenxuecity.com”
選擇“don't run on pages on this domain”
