غالى عضو نشيط ومتألق
عدد الرسائل : 174 العمر : 49 مزاجى : الاوسمه : تاريخ التسجيل : 23/02/2008
| موضوع: تعقب البريد الإلكتروني المشبوه.. إلى مصدره الأحد مارس 23, 2008 6:11 pm | |
| قد تبدو الرسائل الإلكترونيّة المرسلة لك عاديّة، حتى تلك غير المرغوبة والتي تحتوي على بعض الإعلانات أو الملحقات الضارّة أو الفيروسات، ولكنّها تُعتبر منجما غنيّا بالمعلومات لخبراء التقنيات أو لمن يستطيع معرفة المعلومات المخفيّة في داخلها. ومن الممكن تقسيم الرسالة الواحدة إلى عدّة أقسام تساعد على معرفة ما إذا كانت الرسالة ضارّة أم ....
لا. وتفسح المعلومات المخفيّة في الرسائل المجال لمعرفة مصدرها، سواء كان حقيقيّا أم مزيّفا. وتوجد الكثير من البرامج التي تسمح بالتدقيق في هذه المعلومات، بل حتى أنّ بعضها يحلل المعلومات ويعرض الموقع الجغرافيّ لمرسل الرسالة.
* أقسام الرسائل ويمكن تقسيم الرسائل الإلكترونيّة إلى عدّة أقسام تقنية، هي اسم الجهة المرسلة وعنوان البريد الإلكترونيّ لتلك الجهة وعنوان الرسالة وجسد (متن) الرسالة، بالإضافة إلى رابط لموقع ما، ونصّ إضافيّ وبعض المعلومات التقنيّة المخفيّة عن المستخدم. ومن الممكن معرفة إن كانت الرسالة ضارّة أم لا من بعض هذه العناصر، مثل إن كان اسم المستخدم اسما طبيعيّا أم لا. ولكنّ البريد المتطفل أصبح يحتوي على أسماء عادية وليس أرقاما أو حروفا غريبة، وذلك لخداع برامج فحص الرسائل المتطفلة، بالإضافة إلى أنّ الاسم غالبا ما يكون مكتوبا بالأحرف الكبيرة للغة الانجليزيّة، وذلك للسبب نفسه. أمّا بالنسبة لعنوان البريد الإلكترونيّ، فإنّه غالبا ما يبدو مزيّفا نظرا لأنّ القسم الأوّل منه (على يسار إشارة @) يكون عبارة عن أحرف مبعثرة لا تدلّ على اسم صاحبها (يمكن للمحققين الجنائيين معرفة نمط كتابة رسائل أحد المشتبه بهم عن طريق مراقبة طريقة اختياره للاسم، مثل أحرف من السطر الاوّل للوحة المفاتيح أو أيّ سلسلة أخرى). أمّا القسم الثاني من العنوان (على يمين إشارة @)، فإنّه غالبا ما لا يكون مرتبطا بالمنتج المعروض في الرسالة، مثل كون العنوان يدلّ على شركة لتأجير السيّارات، بينما يكون محتوى الرسالة هو إعلان عن أقراص طبيّة أو مواقع ماليّة.
ويكتب المجرمون عنوان الرسالة باستخدام بعض الكلمات غير الصحيحة لغويّا، وذلك لتفادي كشفها من برامج تحليل الرسائل الإلكترونيّة، وقد يستخدم البعض خليطا من الأحرف والأرقام، أو حتى وضع بعض الفراغات بين الأحرف للسبب نفسه، وكثيرا ما توضع علامات التعجب أو السؤال في نهاية الموضوع. ويستخدم المجرمون أيضا صورا تحتوي على نصوص، وذلك لخداع برامج الأمن أيضا، نظرا لأنّ هذه الصور صعبة القراءة على البرامج، ولكنّها سهلة على المستخدمين. وغالبا ما يستخدم المجرمون مواقع بريد إلكترونيّ مجانيّة لأنّ مواقع البريد الإلكترونيّ المدفوع سترفع من تكاليف الخدمة بشكل يتناسب مع كميّة المعلومات المرسلة، وهذه الكميّة ستكون كبيرة جدّا عند إرسال مئات الآلاف من الرسائل التي تحتوي على الصور، على خلاف النصوص.
وبالنسبة للروابط الموجودة في الرسائل، فإنّها غالبا ما تقود المستخدم إلى مواقع معروف أنّها تحتوي على ملفات خطرة، وقد يكون مقدّم خدمة الإنترنت للمستخدم قد حجبها، أو قد لا يجد المستخدم معلومات عنها إن بحث في الإنترنت. وغالبا ما يضع المجرمون نصوصا كبيرة تحتوي على كلمات غير مرتبطة ببعضها البعض، أو نصوصا مأخوذة من بعض الكتب، وذلك لخداع برامج فحص الرسائل لتعتقد بأنّ الرسالة تحتوي على معلومات حقيقيّة، وليست مجرّد إعلان صغير.
* الرحلة المخفية وتتكوّن المعلومات التقنيّة المخفيّة في الرسالة من قسم «from» (وليس «From:») الذي تضيفه أجهزة البريد الخادمة إلى الرسائل أثناء انتقالها من المصدر إلى المستلم، وهو دائما يبدأ في أوّل سطر في الرسالة، ويمكن تزويره في بعض الأحيان. ويوجد قسم آخر في الرسالة هو «Reply-To»، والذي غالبا ما يحتوي على عنوان الطرف المرسل، وذلك ليستقبل الطلبات بعد وقوع الضحيّة في الفخ، ولكن يمكن تزوير هذا القسم أيضا. ويوجد قسم آخر في الرسالة هو «Received»، والذي يُعتبر من أهمّ الأقسام نظرا لانّه لا يمكن تزويره بعد إرسال الرسالة وانتقالها من جهاز بريد خادم إلى آخر (يمكن تزوير هذا القسم قبل إرسال الرسالة، ولكنّ كشف هذا التزوير ليس بالأمر الصعب). ويجب قراءة هذا القسم من الأسفل إلى الأعلى، نظرا لانّه يقدّم ترتيب مرور الرسالة من مصدرها إلى كومبيوتر المستخدم. ويحتوي هذا القسم أيضا على أسماء وعناوين الأجهزة الخادمة التي أرسلت الرسالة وتلك التي استقبلتها.
ومن الأدلة المستخدمة لتتبع الرسالة عبر رحلتها الإلكترونيّة مراقبة وجود انقطاع في سلسلة الانتقال من جهاز خادم لآخر، لنعرف النقطة التي بدأ تزييف العنوان عندها. ويمكن بعد ذلك إرسال رسائل إلكترونيّة إلى مقدم خدمة الإنترنت للطرف المشتبه به لإخباره بحقيقة الرسائل التي يرسلها أحد المشتركين معه، أو إخبار قسم الأمن الإلكترونيّ بذلك.
* إبلاغ المشرفين لا يجب إرسال رسائل الشكوى إلى مقدم خدمة الإنترنت الخاصّ بالمستخدم، بل يجب توجيهها إلى مقدم الخدمة لمصدر الرسالة، ذلك أنّه هو الطرف المسؤول (وإن كان بشكل غير مباشر) عن إصدار الرسائل الضارّة. ويجب إرفاق الرسالة كما هي، وتوضيح العنوان الرقميّ للمصدر والوقت الذي صدرت فيه الرسالة.
هذا ولا يجب الافتراض بأنّ الجهة المرسلة للبريد الضارّ تريد إلحاق الضرر بالمستخدم، بل قد يكون جهازها مستعبدا ويُرسل الرسائل من دون علم صاحبه. ولا يُنصح بإرسال خطاب ذي لهجة قوّية إلى مقدم خدمة الإنترنت للطرف المرسل، ذلك أنّ الشركة لا تعلم بحدوث هذه العمليّة، بل يجب التفاهم معها للتحقيق في ذلك ولمنع هذه الظاهرة من الحدوث مرّة أخرى عبر أجهزتها.
* أوامر التعقب الرقمي
أمر لتعقب العناوين: يمكن استخدام أمر التعقب «tracert» على الكومبيوترات التي تعمل بنظام «ويندوز» (اسم الأمر «traceroute» على أنظمة «يونيكس»، أو يمكن تحميل برنامج IPNetMonitor على الكومبيوترات التي تعمل بنظام «ماكنتوش») عن طريق الذهاب إلى قائمة البداية Start والضغط على Run، وكتابة cmd ومن ثمّ الضغط على زرّ Enter، لتظهر شاشة سوداء. ويمكن للمستخدم بعدها كتابة أمر tracert ومن ثمّ كتابة عنوان الموقع أو الجهة المرغوبة، لتظهر للمستخدم عناوين الاجهزة التي تمرّ معلوماته عبرها، وعناوينها الرقميّة والزمن المستغرق (بالملي ثانية). وبتجربة هذا الأمر على موقع جريدة «الشرق الأوسط» عن طريق كتابة tracert www.aawsat.com، يمكن معرفة أنّ المعلومات المتبادلة بين جهازي وبين الموقع تمرّ عبر 19 جهازا خادما في رحلة الذهاب أو الإياب.
أمر لمعرفة العنوان الرقميّ من العنوان العاديّ: يمكن استخدام أمر «nslookup» لمعرفة العنوان الرقميّ لموقع ما عن طريق الذهاب إلى قائمة البداية Start والضغط على Run، وكتابة cmd ومن ثمّ الضغط على زرّ Enter، لتظهر شاشة سوداء. ويمكن للمستخدم بعدها كتابة أمر nslookup ومن ثمّ كتابة عنوان الموقع أو الجهة المرغوبة، ليظهر العنوان الرقميّ (أو مجموعة من العناوين) للموقع.
* أمثلة لطرق رصد مسار الرسائل المشبوهة
توضح الصورة 1، مسار الرحلة الرقميّة لرسالة مشتبه بها عبرت خلال 4 أجهزة خادمة لتصل إلى كومبيوتر المستخدم. وبتفحص المعلومة الأولى، نعلم بأنّ جهاز «dvb.homelinux.org» الذي يستخدم نظام «Postfix MTA» للبريد الإلكترونيّ قد استقبل الرسالة من جهاز «zoroaster.sf-bay.org» في تاريخ 6 «مايو» 2007. ويمكن معرفة أنّ العنوان الرقميّ للجهاز المرسل هو206.55.70.42، وتبيّن أنّ اسمه مطابق للاسم المُرسل (هذه المعلومة موجودة بين القوسين بعد اسم الطرف المرسل)، أي أنّ العنوان صحيح ولا يوجد مشاكل فيه في هذا القسم.
القسم الثاني من رحلة الرسالة يوضح أنّ الجهاز الخادم قد استقبل الرسالة من جهاز خادم آخر للشركة موجود في نفس الشبكة، أي أنّ الشركة تستخدم جهازا لاستقبال الرسائل وآخر لإرسالها مرّة أخرى، ويمكن معرفة ذلك من عبارة «localhost» الموجودة في عنوان الطرف المرسل. القسم الثالث يدلّ على أنّ كومبيوترا في البرازيل (يمكن معرفة ذلك بعد معاينة الرمز «br» في عنوان المرسل) يملك عنوانا رقميّا هو «208.120.103.200» قد أرسل الرسالة إلى جهاز «zoroaster.sf-bay.org». ويبقى القسم الأخير من الرحلة، والذي يدلنا على أنّ جهازا ذا عنوان رقميّ هو «98.170.248.85» قد أرسل الرسالة إلى عنوان «208.120.103.200».
التحليل اكتمل لرحلة الرسالة، ويبقى معرفة من هو الطرف المزيّف فيها. ويمكن معرفة ذلك عن طريق التأكد من آخر عنوان للمرسل (بواسطة أمر «whois»)، لنجد بأنّ عنوان «98.170.248.85» غير مستخدم على الإطلاق، أي أنّ هذا القسم من الرحلة مزيّف وغير صحيح. وبمعرفة عنوان «208.120.103.200» في القسم الثاني من الرحلة، يمكن التأكد من أنّ هذا العنوان هو العنوان الصحيح للطرف المرسل. ويبقى على المستخدم إبلاغ السلطات المتخصصة أو إرسال رسالة إلى مقدّم خدمة الإنترنت للطرف المرسل ليعرف بأنّ ذلك العنوان في ذلك الوقت قد أرسل رسالة ضارّة، ليتخذ مقدّم الخدمة الإجراءات اللازمة بعد ذلك.
وكمثال آخر (الصورة 2)، فإنّه يمكن تفحص المعلومة الموجوة في قسم «Received» للمثال رقم 2، لنجد بأنّ العنوان الرقميّ لا يتطابق مع موقع AOL (باستخدام أوامر «whois» و«traceroute»)، وبالتالي فإنّ هذا القسم مزوّر بالتأكيد. وبتفحص القسم الثاني من المثال، فإنّنا نجد بأنّ الجهاز الذي أرسل الرسالة اسمه «cola.bekkoame.or.jp»، ولكنّ جهاز البريد الخادم تعرّف عليه على أنّه «ip21.san-luis-obispo.ca.pub-ip.psi.net»، الأمر الذي يجعلنا نتأكد بأنّ شركة خدمة الإنترنت للطرف المرسل هي psi.net، ويعود الفضل في ذلك إلى جهاز البريد الخادم الذي استطاع التعرّف بشكل صحيح على الجهاز الذي أرسل الرسالة.
وإن كانت هذه الخطوات تقنية أو صعبة على بعض المستخدمين، فإنّه يمكنهم تحميل الكثير من البرامج التي تحلل هذه الأقسام وتعرض المعلومات بعد ذلك للمستخدم، ويمكن لبعضها عرض الموقع الجغرافيّ للمصدر نفسه، وذلك في خطوة لتذليل العقبات التقنية. وتعرض بعض هذه البرامج رقم هاتف وفاكس والعنوان البريديّ للموقع الذي صدرت منه الرسالة. | |
|
عاصمه جهنم عضوجديد
عدد الرسائل : 4 تاريخ التسجيل : 18/03/2008
| موضوع: رد: تعقب البريد الإلكتروني المشبوه.. إلى مصدره الخميس مارس 27, 2008 10:06 pm | |
| | |
|
rosybosy عضوجديد
عدد الرسائل : 38 تاريخ التسجيل : 09/03/2008
| موضوع: رد: تعقب البريد الإلكتروني المشبوه.. إلى مصدره الجمعة أبريل 04, 2008 11:06 pm | |
| | |
|
تويتى اداريه مستخبيه
عدد الرسائل : 485 العمر : 40 مزاجى : الاوسمه : تاريخ التسجيل : 29/01/2008
| موضوع: رد: تعقب البريد الإلكتروني المشبوه.. إلى مصدره الأحد أبريل 06, 2008 10:05 pm | |
| موضوع هام وجميل جدا ميرسى لجهدك غالى | |
|
ام يزن عضو جامد
عدد الرسائل : 190 تاريخ التسجيل : 06/03/2008
| موضوع: رد: تعقب البريد الإلكتروني المشبوه.. إلى مصدره الثلاثاء أبريل 15, 2008 11:09 pm | |
| شكرا ياغالى مواضيع رائعه جدا | |
|
جلال المصرى عضوفعال
عدد الرسائل : 103 العمر : 45 مزاجى : تاريخ التسجيل : 11/02/2008
| موضوع: رد: تعقب البريد الإلكتروني المشبوه.. إلى مصدره الخميس أبريل 24, 2008 7:47 pm | |
| | |
|
عم دهب عضوجديد
عدد الرسائل : 45 تاريخ التسجيل : 09/03/2008
| موضوع: رد: تعقب البريد الإلكتروني المشبوه.. إلى مصدره الأحد أبريل 27, 2008 9:00 pm | |
| | |
|
روفيده عضوفعال
عدد الرسائل : 72 العمر : 35 الدوله : مزاجى : الاوسمه : تاريخ التسجيل : 28/02/2008
| موضوع: رد: تعقب البريد الإلكتروني المشبوه.. إلى مصدره السبت مايو 03, 2008 9:34 pm | |
| | |
|