Er du avsender på spam og trusselmail?

0
Kilde bilde: Unsplash

Mange har i det siste fått spammail. Spammail er ikke noe nytt, men flere har fått spammail som ser ut som at du selv er avsender på mailen.

Det gjør at mange blir redde og tror kontoen dems kan være hacket eller tatt over.

Spammere bruker ofte deg selv som avsender men det er kun for å skape frykt. Din konto er ikke tatt over, men de har spoofet eller forfalsket emailen din.

Når en mail forfalskes så kan hvem som helst settes som avsender. Så det ser ekte ut.

Her har jeg fått samtykke av Torbjørn Nesso til å vise hans mail som eksempel. Da han fikk mail trussel fra hackere.

Når du åpner mailen så ser det ut som mailen er sendt og motatt via hans epost adresse. For å sjekke sånne mail så har jeg spurt mange om å få en mail tilsendt som vedlegg. Videresender man mail endrer man koden og jeg får ikke vite orginal avsender.

All info jeg trenger finner jeg i epost hodet på eposten. Dette vil være gresk for mange, men jeg vil poste hele epost hodet først. Så alle kan se. Deretter blir det analysert.

Received: from VE1EUR01HT170.eop-EUR01.prod.protection.outlook.com
 (2603:10a6:7:7d::20) by HE1PR0502MB2924.eurprd05.prod.outlook.com with HTTPS
 via HE1PR0102CA0043.EURPRD01.PROD.EXCHANGELABS.COM; Sat, 19 Oct 2019 01:55:32
 +0000
Received: from VE1EUR01FT029.eop-EUR01.prod.protection.outlook.com
 (10.152.2.51) by VE1EUR01HT170.eop-EUR01.prod.protection.outlook.com
 (10.152.2.244) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2367.14; Sat, 19 Oct
 2019 01:55:31 +0000
Received: from ip103-18.dv9.com (103.200.218.18) by
 VE1EUR01FT029.mail.protection.outlook.com (10.152.2.224) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
 15.20.2367.14 via Frontend Transport; Sat, 19 Oct 2019 01:55:31 +0000
Received: from tathui.com (196.41.123.182-colocation.cybersmart.co.za [196.41.123.182])
	by ip103-18.dv9.com (Postfix) with ESMTPA id 8DC501887B25
	for <torbjorn_nesso@hotmail.no>; Sat, 19 Oct 2019 09:55:28 +0800 (+08)
From: "torbjorn_nesso@hotmail.no" <torbjorn_nesso@hotmail.no>
To: "torbjorn_nesso@hotmail.no" <torbjorn_nesso@hotmail.no>
Subject: Be sure to read this message! Your personal data is threatened!
Thread-Topic: Be sure to read this message! Your personal data is threatened!
Thread-Index: AQHVhiBKI6bFFKxWPkaLeqDBSWpWIQ==
Date: Sat, 19 Oct 2019 01:54:38 +0000
Message-ID: <20191019035438.EEE4A4E1EABEC322@hotmail.no>
Reply-To: "torbjorn_nesso@hotmail.no" <torbjorn_nesso@hotmail.no>
Content-Language: en-US
X-MS-Exchange-Organization-AuthSource:
 VE1EUR01FT029.eop-EUR01.prod.protection.outlook.com
X-MS-Has-Attach:
X-MS-Exchange-Organization-Network-Message-Id:
 7b18442d-8d3c-423f-7a25-08d754376c6f
X-MS-Exchange-Organization-SCL: 6
X-MS-Exchange-Organization-PCL: 2
X-MS-TNEF-Correlator:
X-MS-Exchange-Organization-RecordReviewCfmType: 0
received-spf: Pass (protection.outlook.com: domain of tathui.com designates
 103.200.218.18 as permitted sender) receiver=protection.outlook.com;
 client-ip=103.200.218.18; helo=ip103-18.dv9.com;
x-ms-publictraffictype: Email
x-ms-exchange-organization-originalclientipaddress: 103.200.218.18
x-ms-exchange-organization-originalserveripaddress: 10.152.2.224
X-Microsoft-Antispam-Mailbox-Delivery:
 dkl:0;rwl:0;ucf:0;jmr:0;ex:1;auth:0;dest:J;OFR:SpamFilterAuthJ;ENG:(5062000261)(5061607266)(5061608174)(1007183)(4900115)(4920090)(6367075)(4950130)(4990090)(9140004);RF:JunkEmail;
X-Message-Info:
 qoGN4b5S4ypAJXAsLuidcgEMCUTOQHot64GC3Z7DUFJt9tAA/AFbvlTGf3aLBJa5WkW1wuJ0Mze9lBuF+AWicnmxqCOckkqBV86hnLT9avhHIlj8o4mwXg+fZPwuCt/4BBSz3dX79ZErasbUmLCvH0CaR7f9ZP2/C15KFXmh7iRjYE2+594xTLGqBVIzyVte/vY+tASe7UtQvlUvKQYY0A==
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Microsoft-Antispam-Message-Info:
 =?iso-8859-1?Q?p1lZlnfQb3Nh3h4/DsI6IF+AaFc9kUV3iNb5K+2di6TeMtFpSd0mFbbay9?=
 =?iso-8859-1?Q?bFIoPsrlfOrozzxHkOvFhyhAS3kAQ8r0C/voJI9ejMuNWJHouxldkut6gw?=
 =?iso-8859-1?Q?3N8nKOhFptr2fDEhxXk5x6rUbRgf0HDgI5h2oGSHJiJyL2XO32+iFIJZXY?=
 =?iso-8859-1?Q?ulwQ8eFrH5pq52/16UBav4iWhGyWkmhSAfrInhr/99OAWL0Xeq6BL9Dsfx?=
 =?iso-8859-1?Q?TiORHmObtJUawegiYT1pJchLbzMyvaTeIT3sfWslRZJmkKhT71lxU+76sv?=
 =?iso-8859-1?Q?dqrT/Sm12XABRfA4KfYSuTiyA3WqEQv4jOeMJEh3P6/6clNdkAS601DAZZ?=
 =?iso-8859-1?Q?2z942ZSUF/ZhkPmZDH4wZJR9wGYYR714gMAFBdg/yqeTIlWpeUItyCneoC?=
 =?iso-8859-1?Q?tK0H1AywUZVynqsYORWMW6eqFB/o46Z8oFDVpSJOAjcuX0LwOmy+VI/GMU?=
 =?iso-8859-1?Q?3LYukZBm0secbHQ1ZMiGhe49HJYchJgC3Yj0y32g6qTpeTwC9eRADaEYiy?=
 =?iso-8859-1?Q?HJwZdEEPVYklVJcLQi1NHxlZ05nn6vthkSYaUwIQt3zHo46oBTedzpC0+R?=
 =?iso-8859-1?Q?yvq+rlW6Derd5qDR5+m3SanEyl4Ts7BtRMFJwazV+R4iWV6IUNCXDVmiIt?=
 =?iso-8859-1?Q?BiGfcqWLG7dFjW9cTaQEyiyD1rU0sQZcrOFM08PqPv2DtHyz3XW9dlgFrr?=
 =?iso-8859-1?Q?kA4kxLp/b07A6JZ5uor+yXdNJH1YdcKlChN2/fDs31eim2BCMvjKxBeW9M?=
 =?iso-8859-1?Q?PAFItSklbctg2UCImUdU+pPLjJyJhsGyvE2JRWcx59k9pYT1JLA0MdYYbh?=
 =?iso-8859-1?Q?Cta57KBP8UC2fKsaIPhYHKepys3MLccBtm2xWkhOzlP+EfY3R75EJrb8Sq?=
 =?iso-8859-1?Q?NhErEHBehdxP+uU2GEvAUX1i908ZrJr7OIQRb496kWagyMfrU2ZFK0aRWT?=
 =?iso-8859-1?Q?y+pQLwR45GC+sCMEbNBiENwQEIOYDDmpS0GYesNHdVbwQPFAOS5OHqD5Vj?=
 =?iso-8859-1?Q?hpHDMcuGZPJuxkfpUxv5dqVNxzPLhfK/WuyVYqCSYeJxYZcES1ifui/o2+?=
 =?iso-8859-1?Q?LA=3D=3D?=
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0

Nå falt sikkert mange av lasset, men det er her du kan finne opprinnelig avsender. Å lese all den koden er litt tungvint derfor så bruker jeg noen nettverktøy til å analysere koden.

Jeg lar google analyser meldingshodet. Der ser jeg av avsender adresse og ip adresse er: 196.41.123.182-colocation.cybersmart.co.za. Så utifra det jeg ser her er mailen sendt ifra ett maildomene i sørafrika. Google gir meg en enkel analyse, men jeg trenger litt mere info om mailen. Så jeg kjører mail igjennom en ny analyse på nett.

Her finner jeg samme dv9 på begge, men orginal avsender er forksjellig fra google: tathui.com 196.41.123.182. Ip adressen er lik. Til slutt sjekker jeg SPF og DKIM.

Her får jeg opp en 2 avsender mail: d@rua.agari.com og d@ruf.agari.com. Dette kan være mellomtjenere som gjør at mailen går igjennom spamfilter.

Dmark SPF og DKIM er sikkerhetssytemer som gjør at mail ikke kan forfalskes. Så har du en bedrift? Da bør du ha dette på mail løsningen din.

Så hvis SPF, Dmark og DKIM er satt på hos spammerne også. Så vil mailen mest sannsynlig gå igjennom spamssytemene.

Så hva er konklusjonen her?

  • Får du mail med deg selv som avsender. Så er mailen forfalsket, men det kan være lurt å sjekke opp.
  • Din mail konto er ikke hacket.
  • Formålet med spammail med deg selv som avsender er å skape frykt.
  • Som du ser av mail analyse så er ikke Torbjørn Nesso avsender på trussel mail.

Ser du feil på artikkelen? Send meg en mail på heimholt@gmail.com eller en melding på Facebooksiden min.Så skal jeg få feilen rettet.

Du kan støtte meg på følgene måter:

Vipps: 98100
Konto: 3000.33.91236

Share.
Skip to content
%d bloggere liker dette: