Tech

Az email fejlécének elemzése: technikai tippek az adathalászat leleplezésére

iranyonline 0

Az internetes kommunikáció mindennapjaink szerves részévé vált, és az email továbbra is az egyik legfontosabb eszközünk, legyen szó magánéletről vagy üzletről. Ezzel együtt jár azonban egy sötét oldal is: az adathalászat (phishing). Ezek a megtévesztő támadások célja, hogy személyes adatainkat, banki hozzáférésünket vagy bejelentkezési adatainkat csalják ki tőlünk. Bár számos technikai védelmi rendszer létezik, a legelső és legfontosabb védelmi vonal gyakran mi magunk vagyunk, a tájékozott felhasználók. Egy email vizsgálata során a legtöbben a feladóra és a tartalomra koncentrálunk, pedig a legértékesebb információk sokszor rejtve maradnak: az email fejlécében.

Ebben a cikkben elmerülünk az email fejlécek világában, bemutatjuk, hogyan férhetünk hozzájuk, és milyen technikai trükkökkel leplezhetjük le az adathalász kísérleteket. A cél, hogy felvértezve a tudással, magabiztosan navigálhassunk a digitális térben, és kiszúrjuk a gyanús üzeneteket, mielőtt kárt okoznának.

Mi az az email fejléc?

Képzeljünk el egy hagyományos levelet. A borítékon szerepel a feladó címe, a címzett címe, a bélyegző, a postai útvonalat jelző pecsétek és dátumok. Maga a levél tartalma (az üzenet) a boríték belsejében van. Az email fejléc pontosan ez: az „elektronikus boríték” és az útvonalra vonatkozó információk gyűjteménye. Tartalmazza az üzenet útját a feladó szerverétől a miénkig, az azonosítókat, hitelesítési adatokat és sok más technikai paramétert, amelyek a levél továbbításához szükségesek. Az email testével ellentétben, amely az üzenet vizuális része, a fejléc egy strukturált, sorokból álló szöveges adathalmaz, amelyet a levelezőprogramok alapértelmezetten elrejtenek a felhasználók elől.

Hogyan férhetünk hozzá az email fejléchez?

A fejléc megtekintésének módja kissé eltérő lehet a különböző levelezőprogramokban, de a legtöbb esetben nagyon egyszerű.

Gmail

  • Nyissa meg a vizsgálni kívánt emailt.
  • Az email jobb felső sarkában, a válasz/továbbítás gombok mellett kattintson a három pontra (További műveletek menü).
  • Válassza ki a „Eredeti megjelenítése” (Show original) opciót. Ez egy új ablakban vagy fülön megnyitja a teljes nyers fejlécet.

Microsoft Outlook (asztali alkalmazás)

  • Nyissa meg az emailt egy új ablakban (dupla kattintással).
  • A menüszalagon válassza a „Fájl” fület.
  • Kattintson az „Információ” menüpontra.
  • A „Tulajdonságok” gombra kattintva nyissa meg a „Tulajdonságok” párbeszédpanelt, ahol a „Internetfejlécek” (Internet Headers) mezőben megtalálja a teljes fejlécet.

Microsoft Outlook (webes verzió – Outlook.com / Microsoft 365)

  • Nyissa meg az emailt.
  • Az üzenet jobb felső sarkában kattintson a három pontra (További műveletek menü).
  • Válassza az „Üzenetforrás megtekintése” (View message source) opciót.

Egyéb levelezőprogramok

A legtöbb kliens (pl. Thunderbird, Apple Mail) hasonló opcióval rendelkezik, jellemzően a „View Source”, „Show Original”, „Message Source” vagy „Message Properties” menüpontok alatt keresendő. Ha bizonytalan, keressen rá az adott levelezőprogram nevére és a „show email header” kifejezésre.

Az email fejléc kulcsfontosságú elemei az elemzéshez

A nyers fejléc elsőre ijesztőnek tűnhet a rengeteg technikai információval, de valójában csak néhány kulcsfontosságú mezőre kell figyelnünk az adathalászat leleplezéséhez.

Received: Az üzenet útja

A Received fejléc a legfontosabb láncszem az email útjának nyomon követésében. Minden szerver, amelyen az email áthalad, hozzáad egy új „Received” sort a fejléc tetejére. Mivel fordított sorrendben íródnak, a fejlécben legfelül található „Received” sor jelöli az utolsó ugrást (a mi levelező szerverünket), a legalsó „Received” sor pedig az elsőt (a küldő szerverét). Fontos információk:

  • from: Honnan érkezett az email az adott szerverre.
  • by: Melyik szerver fogadta az emailt.
  • IP-címek: Az üzenetet továbbító szerverek IP-címei.
  • Időbélyegzők: Mikor történt az átadás.

A gyanús útvonalak, váratlan IP-címek vagy földrajzi helyek (pl. egy amerikai banktól érkező email, amely Szerbián keresztül érkezik) azonnal gyanút ébreszthetnek.

From, Sender, Return-Path: A feladó identitása

  • From: Ez az a cím, amelyet a levelezőprogramunk általában megjelenít a feladónál. Ezt az értéket könnyen meghamisíthatják (spoofing).
  • Sender: Akkor jelenik meg, ha valaki más nevében küldte az emailt (pl. asszisztens a főnöke nevében). Ha ez eltér a „From” mezőtől, de mégis legitim, akkor ezt a mezőt használják a levelezőszerverek az azonosításra. Adathalászat esetén gyakran hiányzik vagy hibás.
  • Return-Path (vagy Reply-To): Ez az a cím, ahová a kézbesítési hibajelzések (bounce messages) mennek. Adathalászok gyakran használják ezt a mezőt, hogy elrejtsék valódi identitásukat, vagy hogy a hibás levelek egy ártalmatlan(abb) címre kerüljenek. Ha ez a cím teljesen más domainen van, mint a „From” cím, az erős gyanúra ad okot.

Subject: Az első benyomás

Bár ez nem technikai, a Subject (tárgy) sor gyakran az első indikátor lehet. Gyanúsan sürgető, fenyegető vagy túl jónak tűnő ajánlatok („Nyertél a lottón!”) gyakran kísérletei az adathalászatnak.

Message-ID: Az egyedi azonosító

Minden email egyedi azonosítóval rendelkezik, amely segít nyomon követni. Bár önmagában nem utal közvetlenül adathalászatra, hiánya vagy rendellenes formátuma gyanús lehet.

Content-Type: Tartalomtípus és kódolás

Ez a mező írja le az email tartalmának típusát (pl. text/plain, text/html) és a használt karakterkódolást. Bár ritkán utal közvetlenül adathalászatra, szokatlan vagy manipulált típusok (pl. egy ártatlannak tűnő szöveg, ami valójában valami mást takar) potenciális kockázatot jelenthetnek.

Authentication-Results: A hitelesség kulcsa (SPF, DKIM, DMARC)

Ez a mező az egyik legfontosabb technikai ellenőrzési pont. Itt láthatjuk az email hitelesítési protokolljainak (SPF, DKIM, DMARC) eredményeit. Ezek a protokollok célja, hogy megakadályozzák az email-hamisítást.

  • SPF (Sender Policy Framework): Ellenőrzi, hogy a küldő IP-cím szerepel-e a feladó domainjének engedélyezett feladók listáján. Ha egy email olyan szerverről érkezik, amely nincs az SPF rekordban, az SPF ellenőrzés meghiúsul.
    • pass: A küldő IP engedélyezett.
    • fail: A küldő IP nem engedélyezett – erős gyanúra ad okot.
    • softfail: Valószínűleg nem engedélyezett, de nem is egyértelműen elutasított.
    • neutral vagy none: Nincs SPF rekord definiálva, vagy az eredmény nem meggyőző.
  • DKIM (DomainKeys Identified Mail): Egy digitális aláírás, amely garantálja, hogy az üzenet egy meghatározott domainről származik, és útközben nem módosították. Az aláírás a fejléc egy részét és az üzenet testét hash-eli.
    • pass: Az aláírás érvényes, az üzenet hiteles.
    • fail: Az aláírás érvénytelen, vagy az üzenetet módosították – szintén erős jel.
    • none: Nincs DKIM aláírás.
  • DMARC (Domain-based Message Authentication, Reporting & Conformance): A DMARC egy házirend, amely megmondja a fogadó szervereknek, hogyan kezeljék azokat az emaileket, amelyek nem felelnek meg az SPF vagy DKIM ellenőrzésnek a feladó domainjéhez képest. Meghatározza, hogy az ilyen emaileket elutasítsák, karanténba helyezzék, vagy csak figyelmeztessék őket.
    • pass: Az email átment az SPF vagy DKIM ellenőrzésen (vagy mindkettőn), és a domainek összehangoltak.
    • fail: Az email nem ment át, és a DMARC politika alapján intézkedni kell (pl. elutasítani).

Az adathalász emailek gyakran „fail” eredményt mutatnak az SPF, DKIM, vagy DMARC ellenőrzéseknél, különösen, ha egy ismert márkát próbálnak utánozni. Egy legitim cég emailjeinek szinte mindig át kell menniük ezeken az ellenőrzéseken.

X-Headers: Kiegészítő információk

Az X- előtaggal kezdődő fejlécek egyedi, nem szabványos mezők, amelyeket a szerverek vagy az alkalmazások adhatnak hozzá. Ezek hasznos, bár nem minden esetben megbízható információkat tartalmazhatnak, például spam-pontszámokat (X-Spam-Status, X-Spam-Flag) vagy további szűrési eredményeket.

Technikai tippek az adathalászat leleplezésére fejléc elemzéssel

Most, hogy ismerjük a fő komponenseket, nézzük meg, hogyan használhatjuk fel ezt a tudást a gyakorlatban.

Gyanús feladó címek azonosítása

Mindig hasonlítsa össze a „From”, „Sender” és „Return-Path” mezőket. Ha egy email például a „[email protected]” címről érkezik, de a „Return-Path” vagy a „Sender” mező valami egészen mást, mondjuk „[email protected]” címet mutat, akkor az egyértelműen adathalász kísérlet. A feladó domainjének (pl. paypal.com) kell konzisztensnek lennie minden releváns fejlécben.

IP-cím nyomon követése és reputáció ellenőrzése

A „Received” fejlécekben található IP-címek árulkodóak lehetnek. Használjon egy IP-cím kereső eszközt (pl. ipinfo.io, whatismyip.com), hogy megnézze, hol található fizikailag a feladó szerver. Ha egy email egy magyar banktól érkezik, de a küldő IP-cím Brazíliából származik, az rendkívül gyanús. Emellett ellenőrizze az IP-cím reputációját olyan szolgáltatásokon keresztül, mint az AbuseIPDB vagy a Talos Intelligence. Ha az IP fekete listán van, vagy spamforrásként ismert, azonnal törölje az emailt.

Az email hitelességének ellenőrzése (SPF, DKIM, DMARC)

Ahogy fentebb is említettük, az Authentication-Results mező kulcsfontosságú.

  • Ha egy ismert, nagy cégtől kapott emailnél az SPF, DKIM vagy DMARC eredménye „fail” vagy „softfail”, az szinte biztosan adathalászatot jelez.
  • Figyeljen arra is, hogy a DMARC eredményében a spf=pass vagy dkim=pass mellett a header.from domainnek meg kell egyeznie az spf.mailfrom (SPF) vagy dkim.domain (DKIM) domainnel (ezt nevezik „alignment”-nek). Ha nem egyeznek, a DMARC ellenőrzés meghiúsulhat, még akkor is, ha az SPF/DKIM külön-külön átment.

Ezek a protokollok a legnehezebben meghamisítható részei a fejlécnek, ezért rájuk támaszkodhatunk leginkább.

Domain elemzés: a név mögött rejlő valóság

Az adathalászok gyakran használnak nagyon hasonló, de nem azonos domaineket (typosquatting), például googgle.com helyett google.com. Ellenőrizze a „From” és „Return-Path” domaineket betűről betűre! Használhat WHOIS lekérdező szolgáltatásokat is (pl. who.is), hogy megnézze, mikor regisztrálták a domaint. Egy frissen regisztrált domain (néhány napos vagy hetes) egy „bank” vagy „ismert cég” nevében szinte garantáltan csalás.

Az email útvonalának anomáliái

Nézze meg a „Received” sorokat. Egy egyszerű email útvonala általában csak néhány szerveren halad keresztül. Ha az email fejlécében szokatlanul hosszú vagy bonyolult az útvonal, vagy a szerverek egymástól rendkívül távoli, földrajzilag logikátlan helyeken találhatók, az gyanús lehet.

Gyanús hivatkozások és csatolmányok

Bár ez nem szigorúan fejléc elemzés, a fejléc elemzésével együtt érdemes mindig gyanakodni a levél törzsében található hivatkozásokra és csatolmányokra. Soha ne kattintson ismeretlen eredetű linkekre, és ne nyisson meg gyanús csatolmányokat! A linkekre való rámutatás (anélkül, hogy rákattintana) megmutatja a valódi URL-t, ami gyakran eltér a látszólagostól.

Időbélyegzők eltérései

A „Received” fejlécek tartalmaznak időbélyegzőket. Normális esetben az egymást követő szerverek időbélyegzői között csak rövid idő telik el. Ha nagy, indokolatlan időbeli ugrásokat talál (pl. órák telnek el két szerver között, ami egymás mellett van), az manipulációra utalhat.

Hasznos eszközök és erőforrások

  • Online fejléc elemzők: Számos webes eszköz létezik, amelyek leegyszerűsítik a fejléc elemzését. Csak be kell másolnia a nyers fejlécet, és az eszköz értelmezi, kiemeli a kulcsfontosságú információkat, és gyakran még az IP-címek földrajzi helyét is megjeleníti. Ilyenek például az MXToolbox Email Header Analyzer vagy a Google Admin Toolbox Message Header Analyzer.
  • WHOIS lekérdezések: A who.is vagy a lookup.icann.org oldalakon lekérdezheti bármely domain regisztrációs adatait, tulajdonosát és regisztrációs dátumát.
  • IP reputáció ellenőrző szolgáltatások: Az AbuseIPDB, a Talos Intelligence vagy a Spamhaus DBL segítenek ellenőrizni egy IP-cím vagy domain hírnevét.

Megelőzés és legjobb gyakorlatok

A fejléc elemzés egy erőteljes eszköz, de a legjobb védekezés a több rétegű megközelítés:

  • Legyen gyanakvó: Mindig kétszer gondolja meg, mielőtt egy emailben kért linkre kattintana vagy adatokat adna meg.
  • Többfaktoros hitelesítés (MFA/2FA): Használjon MFA-t mindenhol, ahol lehetséges. Ez még akkor is védelmet nyújt, ha a jelszavát valahogy megszerzik.
  • Frissítse szoftvereit: A levelezőprogramok és az operációs rendszerek frissítései gyakran tartalmaznak biztonsági javításokat.
  • Ne kattintson, ellenőrizzen! Ha egy email gyanúsnak tűnik, de esetleg fontos lehet (pl. banktól vagy szolgáltatótól), ne a levélben található linkre kattintson. Helyette nyisson meg egy böngészőablakot, és közvetlenül gépelje be a cég hivatalos webcímét, majd ott jelentkezzen be.
  • Munkavállalói képzés: Céges környezetben elengedhetetlen a rendszeres kiberbiztonsági képzés.
  • Email biztonsági átjárók (SEG): Vállalati szinten a speciális email biztonsági megoldások (pl. Advanced Threat Protection – ATP) automatikusan szűrik a gyanús üzeneteket, mielőtt azok a felhasználók postafiókjába kerülnének.

Összegzés

Az email fejlécének elemzése nem csak a kiberbiztonsági szakértők kiváltsága. Egy kis gyakorlással és a megfelelő tudással bárki képessé válhat arra, hogy elmélyedjen az emailek rejtett rétegeiben, és azonosítsa az adathalász kísérleteket, mielőtt azok kárt okoznának. A tudatosság, a kritikus gondolkodás és a fejléc elemzésének képessége együttesen olyan védelmi vonalat épít, amely jelentősen csökkentheti az online fenyegetések kockázatát. Ne feledje, a legokosabb technológia sem helyettesíti az emberi éberséget és a józan észt. Legyen résen, és használja a tudását a biztonságosabb digitális jövőért!

Kapcsolódó

Leave a Reply

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük