Phenquestions
Arquitectura de correo electrónico:
Cuando un usuario envía un correo electrónico, el correo electrónico no va directamente al servidor de correo al final del destinatario; más bien, pasa a través de diferentes servidores de correo.
MUA es el programa en el extremo del cliente que se utiliza para leer y redactar correos electrónicos. Hay diferentes MUA como Gmail, Outlook, etc. Cada vez que MUA envía un mensaje, va al MTA que decodifica el mensaje e identifica la ubicación a la que debe enviarse leyendo la información del encabezado y modifica su encabezado agregando datos y luego lo pasa al MTA en el extremo receptor. El último MTA presente justo antes de que MUA decodifique el mensaje y lo envíe a MUA en el extremo receptor. Es por eso que en el encabezado del correo electrónico podemos encontrar información sobre múltiples servidores.
Análisis de encabezado de correo electrónico:
La ciencia forense del correo electrónico comienza con el estudio del correo electrónico encabezamiento ya que contiene una gran cantidad de información sobre el mensaje de correo electrónico. Este análisis consiste tanto en el estudio del cuerpo del contenido como en el encabezado del correo electrónico que contiene la información sobre el correo electrónico dado. El análisis del encabezado del correo electrónico ayuda a identificar la mayoría de los delitos relacionados con el correo electrónico, como el spear phishing, el spam, la suplantación de correo electrónico, etc. La suplantación de identidad es una técnica mediante la cual uno puede fingir ser otra persona, y un usuario normal pensaría por un momento que es su amigo o alguna persona que ya conoce. Es solo que alguien está enviando correos electrónicos desde la dirección de correo electrónico falsificada de su amigo, y no es que su cuenta haya sido pirateada.
Al analizar los encabezados de los correos electrónicos, uno puede saber si el correo electrónico que recibió es de una dirección de correo electrónico falsa o real. Así es como se ve un encabezado de correo electrónico:
Entregado a: [correo electrónico protegido]Recibido: en 2002: a0c: f2c8: 0: 0: 0: 0: 0 con identificación SMTP c8csp401046qvm;
Mié, 29 de julio de 2020 05:51:21 -0700 (PDT)
X-Received: en 2002: a92: 5e1d :: con SMTP id s29mr19048560ilb.245.1596027080539;
Mié, 29 de julio de 2020 05:51:20 -0700 (PDT)
Sello ARC: i = 1; a = rsa-sha256; t = 1596027080; cv = ninguno;
d = google.com; s = arco-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
O2Q ==
Firma-Mensaje-ARC: i = 1; a = rsa-sha256; c = relajado / relajado; d = google.com; s = arco-20160816;
h = to: subject: message-id: date: from: mime-version: dkim-signature;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxQTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
Resultados de la autenticación ARC: i = 1; mx.Google.com;
dkim = pass [correo electrónico protegido] encabezado.s = encabezado 20161025.b = JygmyFja;
spf = pasar (google.com: dominio de [correo electrónico protegido] designa 209.85.22000 como
remitente permitido) [correo electrónico protegido];
dmarc = pasar (p = NINGUNO sp = CUARENTENA dis = NINGUNO) encabezado.de = gmail.com
Vía de retorno: <[email protected]>
Recibido: de mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])
por mx.Google.com con ID de SMTPS n84sor2004452iod.19.2020.07.29.00.00.00
por <[email protected]>
(Seguridad de transporte de Google);
Mié, 29 de julio de 2020 05:51:20 -0700 (PDT)
Recibido-SPF: pasar (google.com: dominio de [correo electrónico protegido] designa 209.85.000.00
como remitente permitido) client-ip = 209.85.000.00;
Resultados de autenticación: mx.Google.com;
dkim = pass [correo electrónico protegido] encabezado.s = encabezado 20161025.b = JygmyFja;
spf = pasar (google.com: el dominio de [correo electrónico protegido] designa
209.85.000.00 como remitente permitido) [correo electrónico protegido];
dmarc = pass (p = NINGUNO sp = CUARENTENA dis = NINGUNO) encabezado.de = gmail.com
Firma DKIM: v = 1; a = rsa-sha256; c = relajado / relajado;
d = gmail.com; s = 20161025;
h = mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
X-Google-DKIM-Signature: v = 1; a = rsa-sha256; c = relajado / relajado;
d = 1e100.neto; s = 20161025;
h = x-gm-message-state: mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
Estado del mensaje X-Gm: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
X-Google-Smtp-Source: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
X-Received: en 2002: a05: 0000: 0b :: con SMTP id v11mr21571925jao.122.1596027079698;
Mié, 29 de julio de 2020 05:51:19 -0700 (PDT)
Versión MIME: 1.0
De: Marcus Stoinis <[email protected]>
Fecha: miércoles, 29 de julio de 2020 17:51:03 +0500
ID de mensaje: <[email protected]om>
Sujeto:
Para: [correo electrónico protegido]
Tipo de contenido: multiparte / alternativo; límite = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Tipo de contenido: texto / sin formato; charset = "UTF-8"
Para comprender la información del encabezado, es necesario comprender el conjunto estructurado de campos de la tabla.
X-aparentemente a: Este campo es útil cuando el correo electrónico se envía a más de un destinatario, como CCO o una lista de correo. Este campo contiene una dirección para A campo, pero en el caso de bcc, el X-Aparentemente al el campo es diferente. Entonces, este campo indica la dirección del destinatario a pesar de que el correo electrónico se envía como cc, bcc o por alguna lista de correo.
Vía de retorno: El campo Ruta de retorno contiene la dirección de correo que el remitente especificó en el campo De.
SPF recibido: Este campo contiene el dominio del que proviene el correo. En este caso es
Recibido-SPF: pasar (google.com: dominio de [correo electrónico protegido] designa 209.85.000.00 como remitente permitido) client-ip = 209.85.000.00;
Relación de X-spam: Hay un software de filtrado de correo no deseado en el servidor receptor o MUA que calcula la puntuación de correo no deseado. Si la puntuación de correo no deseado supera un cierto límite, el mensaje se envía automáticamente a la carpeta de correo no deseado. Varios MUA utilizan diferentes nombres de campo para puntuaciones de spam como Relación de X-spam, estado de X-spam, indicador de X-spam, nivel de X-spam etc.
Recibió: Este campo contiene la dirección IP del último servidor MTA en el extremo de envío, que luego envía el correo electrónico al MTA en el extremo de recepción. En algunos lugares, esto se puede ver en X-originado para campo.
Cabezal de tamiz X: Este campo especifica el nombre y la versión del sistema de filtrado de mensajes. Esto se refiere al idioma utilizado para especificar las condiciones para filtrar los mensajes de correo electrónico.
Conjuntos de caracteres X-spam: Este campo contiene la información sobre los conjuntos de caracteres utilizados para filtrar correos electrónicos como UTF, etc. UTF es un buen conjunto de caracteres que tiene la capacidad de ser compatible con versiones anteriores de ASCII.
X-resuelto a: Este campo contiene la dirección de correo electrónico del destinatario, o podemos decir la dirección del servidor de correo al que envía el MDA de un remitente. La mayoría de las veces, X-entregado a, y este campo contiene la misma dirección.
Resultados de la autenticación: Este campo indica si el correo recibido del dominio dado ha pasado DKIM firmas y Claves de dominio firma o no. En este caso, lo hace.
Resultados de autenticación: mx.Google.com;dkim = pass [correo electrónico protegido] encabezado.s = encabezado 20161025.b = JygmyFja;
spf = pasar (google.com: el dominio de [correo electrónico protegido] designa
209.85.000.00 como remitente permitido)
Recibió: El primer campo recibido contiene información de seguimiento ya que la IP de la máquina envía un mensaje. Mostrará el nombre de la máquina y su dirección IP. La fecha y hora exactas en que se recibió el mensaje se pueden ver en este campo.
Recibido: de mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])por mx.Google.com con ID de SMTPS n84sor2004452iod.19.2020.07.29.00.00.00
por <[email protected]>
(Seguridad de transporte de Google);
Mié, 29 de julio de 2020 05:51:20 -0700 (PDT)
Para, desde y asunto: Los campos "Para", "de" y "asunto" contienen la información sobre la dirección de correo electrónico del destinatario, la dirección de correo electrónico del remitente y el asunto especificado en el momento de enviar el correo electrónico por el remitente, respectivamente. El campo de asunto está en blanco en caso de que el remitente lo deje así.
Encabezados MIME: Para MUA para realizar una decodificación adecuada para que el mensaje se envíe de forma segura al cliente, MÍMICA codificación de transferencia, MÍMICA el contenido, su versión y extensión son un tema importante.
Versión MIME: 1.0Tipo de contenido: texto / sin formato; charset = "UTF-8"
Tipo de contenido: multiparte / alternativo; límite = "00000000000023294e05ab94032b"
Id. De mensaje: Message-id contiene un nombre de dominio adjunto con el número único por el servidor de envío.
ID de mensaje: <[email protected]om>Investigación del servidor:
En este tipo de investigación, se exploran los duplicados de los mensajes transmitidos y los registros de los trabajadores para distinguir el origen de un correo electrónico. Incluso si los clientes (remitentes o beneficiarios) eliminan sus mensajes de correo electrónico que no se pueden recuperar, estos mensajes pueden ser registrados por servidores (Proxies o Proveedores de servicios) en grandes porciones. Estos proxies almacenan un duplicado de todos los mensajes después de su transporte. Además, los registros mantenidos por los trabajadores se pueden concentrar para seguir la ubicación de la PC responsable del intercambio de correo electrónico. En cualquier caso, Proxy o ISP almacenan los duplicados de los registros de correo electrónico y del servidor solo durante un período de tiempo y es posible que algunos no cooperen con los investigadores forenses. Además, los trabajadores SMTP que almacenan información como el número de Visa y otra información relacionada con el propietario del buzón se pueden utilizar para distinguir a las personas detrás de una dirección de correo electrónico.
Tácticas de cebo:
En una investigación de este tipo, un correo electrónico con http: "" la etiqueta con la fuente de la imagen en cualquier PC verificada por los examinadores se envía al remitente del correo electrónico bajo investigación que contiene direcciones de correo electrónico genuinas (auténticas). En el momento en que se abre el correo electrónico, una sección de registro que contiene la dirección IP del receptor (remitente del culpable) se registra en el servidor HTTP, uno que aloja la imagen y, en este sentido, el remitente es seguido. En cualquier caso, si la persona en el extremo receptor está utilizando un proxy, entonces se rastrea la dirección IP del servidor proxy.
El servidor proxy contiene un registro que se puede utilizar más para seguir al remitente del correo electrónico que se está investigando. En caso de que incluso el registro del servidor proxy sea inaccesible debido a alguna explicación, en ese momento los examinadores pueden enviar el correo electrónico desagradable con Java incrustado Applet que se ejecuta en el sistema informático del destinatario o en un Página HTML con objeto Active X para localizar a la persona deseada.
Investigación de dispositivos de red:
Dispositivos de red como firewalls, reuters, conmutadores, módems, etc. contener registros que se pueden usar para rastrear la fuente de un correo electrónico. En este tipo de investigación, estos registros se utilizan para investigar el origen de un mensaje de correo electrónico. Este es un tipo de investigación forense muy complejo y rara vez se utiliza. A menudo se usa cuando los registros del proveedor de proxy o ISP no están disponibles por alguna razón, como falta de mantenimiento, pereza o falta de soporte del proveedor de ISP.
Identificadores integrados de software:
Algunos datos sobre el autor de los registros o archivos unidos al correo electrónico pueden ser incorporados al mensaje por el software de correo electrónico utilizado por el remitente para redactar el correo. Estos datos pueden recordarse por el tipo de encabezados personalizados o como contenido MIME como formato TNE. Investigar el correo electrónico en busca de estas sutilezas puede revelar algunos datos esenciales sobre las preferencias y opciones de correo electrónico de los remitentes que podrían respaldar la recopilación de pruebas del lado del cliente. El examen puede descubrir los nombres de los documentos PST, la dirección MAC, etc. de la PC del cliente que se utiliza para enviar mensajes de correo electrónico.
Análisis de adjuntos:
Entre los virus y el malware, la mayoría de ellos se envían a través de conexiones de correo electrónico. El examen de los archivos adjuntos de correo electrónico es urgente y crucial en cualquier examen relacionado con el correo electrónico. El derrame de datos privados es otro campo importante de examen. Hay software y herramientas accesibles para recuperar información relacionada con el correo electrónico, por ejemplo, archivos adjuntos de los discos duros de un sistema informático. Para el examen de conexiones dudosas, los investigadores cargan los archivos adjuntos en una caja de arena en línea, por ejemplo, VirusTotal para verificar si el documento es un malware o no. Sea como fuere, es fundamental para administrar en la parte superior de la lista de prioridades que, independientemente de si un registro pasa por una evaluación, por ejemplo, VirusTotal, esto no es una garantía de que esté completamente protegido. Si esto ocurre, es una buena idea investigar más el registro en una situación de caja de arena, por ejemplo, Cuckoo.
Huellas digitales del remitente:
Al examinar Recibió campo en los encabezados, se puede identificar el software que se encarga de los correos electrónicos en el extremo del servidor. Por otro lado, al examinar el X-mailer campo, se puede identificar el software que se encarga de los correos electrónicos en el extremo del cliente. Estos campos de encabezado representan el software y sus versiones utilizadas al final del cliente para enviar el correo electrónico. Estos datos sobre la PC cliente del remitente se pueden utilizar para ayudar a los examinadores a formular una estrategia poderosa y, por lo tanto, estas líneas terminan siendo muy valiosas.
Herramientas forenses de correo electrónico:
En la última década, se han creado algunas herramientas o software de investigación de la escena del crimen por correo electrónico. Pero la mayoría de las herramientas se han creado de forma aislada. Además, se supone que la mayoría de estas herramientas no resuelven un problema particular relacionado con irregularidades digitales o de PC. En su lugar, están planificados para buscar o recuperar datos. Ha habido una mejora en las herramientas forenses para facilitar el trabajo del investigador, y hay numerosas herramientas increíbles disponibles en Internet. Algunas herramientas utilizadas para el análisis forense de correo electrónico son las siguientes:
EmailTrackerPro:
EmailTrackerPro investiga los encabezados de un mensaje de correo electrónico para reconocer la dirección IP de la máquina que envió el mensaje para que se pueda encontrar al remitente. Puede seguir diferentes mensajes al mismo tiempo y monitorearlos de manera efectiva. La ubicación de las direcciones IP es un dato clave para decidir el nivel de peligro o la legitimidad de un mensaje de correo electrónico. Esta increíble herramienta puede quedarse en la ciudad de donde es muy probable que se origine el correo electrónico. Reconoce el ISP del remitente y proporciona datos de contacto para un examen más detallado. El camino genuino a la dirección IP del remitente se contabiliza en una tabla de dirección, lo que brinda datos de área adicionales para ayudar a decidir el área real del remitente. El elemento de denuncia de abusos que contiene se puede utilizar muy bien para simplificar el examen adicional. Para protegerse contra el correo electrónico no deseado, comprueba y verifica los correos electrónicos contra las listas negras de correo no deseado, por ejemplo, Spamcops. Es compatible con diferentes idiomas, incluidos los filtros de spam en japonés, ruso y chino junto con el inglés. Un elemento importante de esta herramienta es el uso indebido que revela que puede generar un informe que se puede enviar al proveedor de servicios (ISP) del remitente. El ISP puede encontrar una manera de encontrar titulares de cuentas y ayudar a eliminar el spam.
Xtraxtor:
Esta increíble herramienta Xtraxtor está hecha para separar direcciones de correo electrónico, números de teléfono y mensajes de diferentes formatos de archivo. Distingue naturalmente el área predeterminada e investiga rápidamente la información del correo electrónico por usted. Los clientes pueden hacerlo sin mucho esfuerzo, extraer direcciones de correo electrónico de mensajes e incluso de archivos adjuntos. Xtraxtor restablece los mensajes borrados y no purgados de numerosas configuraciones de buzones y cuentas de correo IMAP. Además, tiene una interfaz fácil de aprender y una buena función de asistencia para simplificar la actividad del usuario, y ahorra mucho tiempo con su correo electrónico rápido, preparación del motor y funciones de eliminación de doblaje. Xtraxtor es compatible con los archivos MBOX de Mac y los sistemas Linux y puede proporcionar funciones potentes para encontrar información relevante.
Advik (herramienta de copia de seguridad de correo electrónico):
Advik, herramienta de copia de seguridad de correo electrónico, es una muy buena herramienta que se utiliza para transferir o exportar todos los correos electrónicos del buzón de correo, incluidas todas las carpetas como enviados, borradores, bandeja de entrada, correo no deseado, etc. El usuario puede descargar la copia de seguridad de cualquier cuenta de correo electrónico sin mucho esfuerzo. La conversión de copias de seguridad de correo electrónico en diferentes formatos de archivo es otra gran característica de esta increíble herramienta. Su característica principal es Filtro avanzado. Esta opción puede ahorrar una enorme cantidad de tiempo al exportar los mensajes de nuestra necesidad desde el buzón en muy poco tiempo. IMAP La función ofrece la opción de recuperar correos electrónicos de almacenamientos basados en la nube y se puede utilizar con todos los proveedores de servicios de correo electrónico. Advik se puede utilizar para almacenar copias de seguridad de nuestra ubicación deseada y admite varios idiomas junto con inglés, incluidos japonés, español y francés.
Systools MailXaminer:
Con la ayuda de esta herramienta, un cliente puede alterar sus canales de búsqueda dependiendo de las situaciones. Brinda a los clientes una alternativa para mirar dentro de los mensajes y conexiones. Además, esta herramienta de correo electrónico forense ofrece además una ayuda con todo incluido para el examen científico del correo electrónico tanto del área de trabajo como de las administraciones de correo electrónico. Permite a los examinadores tratar más de un caso de forma legítima. Asimismo, con la ayuda de esta herramienta de análisis de correo electrónico, los especialistas pueden incluso ver los detalles del chat, realizar un examen de llamadas y ver los detalles de los mensajes entre varios clientes de la aplicación Skype. Las principales características de este software son que admite varios idiomas junto con el inglés, incluido el japonés, el español, el francés y el chino, y el formato en el que recupera los correos eliminados es aceptable para los tribunales. Proporciona una vista de gestión de registros en la que se muestra una buena vista de todas las actividades. Systools MailXaminer es compatible con dd, e01, cremallera y muchos otros formatos.
Ad quejarse:
Hay una herramienta llamada Ad quejarse que se utiliza para informar correos comerciales y publicaciones de botnets y también anuncios como "ganar dinero rápido", "dinero rápido", etc. El propio Adcomplain realiza un análisis de encabezado en el remitente del correo electrónico después de identificar dicho correo y lo informa al ISP del remitente.
Conclusión:
Correo electrónico es utilizado por casi todas las personas que utilizan servicios de Internet en todo el mundo. Los estafadores y los ciberdelincuentes pueden falsificar encabezados de correo electrónico y enviar correos electrónicos con contenido malicioso y fraudulento de forma anónima, lo que puede conducir a ataques de datos y piratería. Y esto es lo que se suma a la importancia del examen forense del correo electrónico. Los ciberdelincuentes utilizan varias formas y técnicas para mentir sobre sus identidades, como:
- Spoofing:
Para ocultar la propia identidad, las personas malas falsifican los encabezados de los correos electrónicos y los rellenan con información incorrecta. Cuando la suplantación de correo electrónico se combina con la suplantación de IP, es muy difícil rastrear a la persona real detrás de ella.
- Redes no autorizadas:
Las redes que ya están en peligro (incluidas las tanto cableadas como inalámbricas) se utilizan para enviar correos electrónicos no deseados para ocultar la identidad.
- Relevadores de correo abiertos:
Una retransmisión de correo mal configurada acepta correos de todas las computadoras, incluidas las que no debería aceptar. Luego lo reenvía a otro sistema que también debería aceptar el correo de computadoras específicas. Este tipo de retransmisión de correo se denomina retransmisión de correo abierta. Los estafadores y piratas informáticos utilizan ese tipo de retransmisión para ocultar su identidad.
- Proxy abierto:
La máquina que permite que los usuarios o las computadoras se conecten a través de ella a otros sistemas informáticos se denomina servidor proxy. Existen diferentes tipos de servidores proxy, como un servidor proxy corporativo, un servidor proxy transparente, etc. dependiendo del tipo de anonimato que brinden. El servidor proxy abierto no rastrea los registros de las actividades del usuario y no mantiene registros, a diferencia de otros servidores proxy que mantienen registros de las actividades del usuario con las marcas de tiempo adecuadas. Este tipo de servidores proxy (servidores proxy abiertos) proporcionan anonimato y privacidad que son valiosos para el estafador o la mala persona.
- Anonimizadores:
Los anonimizadores o re-re-mailers son los sitios web que operan con el pretexto de proteger la privacidad del usuario en Internet y hacerlos anónimos al eliminar intencionalmente los encabezados del correo electrónico y al no mantener registros del servidor.
- Túnel SSH:
En Internet, un túnel significa una ruta segura para los datos que viajan en una red que no es de confianza. La tunelización se puede realizar de diferentes formas que dependen del software y la técnica utilizada. Uso de la función SSH Se puede establecer un túnel de reenvío de puertos SSH y se crea un túnel cifrado que utiliza la conexión del protocolo SSH. Los estafadores utilizan el túnel SSH para enviar correos electrónicos para ocultar sus identidades.
- Botnets:
El término bot obtenido de "ro-bot" en su estructura convencional se utiliza para representar un contenido o un conjunto de contenidos o un programa destinado a realizar trabajos predefinidos una y otra vez y, en consecuencia, después de ser activado deliberadamente o mediante una infección del sistema. A pesar del hecho de que los bots comenzaron como un elemento útil para transmitir actividades aburridas y tediosas, sin embargo, se abusa de ellos con fines maliciosos. Los bots que se utilizan para completar ejercicios reales de forma mecanizada se denominan bots amables, y los que están destinados a fines malignos se conocen como bots maliciosos. Una botnet es un sistema de bots restringido por un botmaster. Un botmaster puede ordenar a sus bots controlados (bots malignos) que se ejecutan en PC debilitadas en todo el mundo para enviar correo electrónico a algunas ubicaciones asignadas mientras disfraza su carácter y comete una estafa por correo electrónico o un fraude por correo electrónico.
- Conexiones a Internet imposibles de rastrear:
Cibercafé, campus universitario, diferentes organizaciones proporcionan acceso a Internet a los usuarios compartiendo Internet. En este caso, si no se mantiene un registro adecuado de las actividades de los usuarios, es muy fácil realizar actividades ilegales y estafas por correo electrónico y salirse con la suya.
El análisis forense de correo electrónico se utiliza para encontrar el remitente y el receptor reales de un correo electrónico, la fecha y hora en que se recibe y la información sobre los dispositivos intermedios involucrados en la entrega del mensaje. También hay varias herramientas disponibles para acelerar las tareas y encontrar fácilmente las palabras clave deseadas. Estas herramientas analizan los encabezados de los correos electrónicos y le dan al investigador forense el resultado deseado en poco tiempo.
