KHOA AN TỒN THƠNG TIN HỌC VIỆN KỸ THUẬT MẬT MÃ HỌC PHẦN PHÒNG CHỐNG ĐIỀU TRA TỘI PHẠM MÁY TÍNH ĐỀ TÀI 09 Thu thập phân tích chứng từ Email Giảng viên hướng dẫn: Th.s NGUYỄN MẠNH THẮNG Sinh viên thực hiện: Lê Minh Hiếu - AT140714 Nguyễn Minh Hiếu - AT140418 Nguyễn Viết Tùng - AT140749 Tống Ngọc Huyền - AT140125 Hà Nội, 2021 Mục lục Chương I: TỔNG QUAN GIỚI THIỆU E-MAIL 2 HỆ THỐNG E-MAIL 3 TRÌNH TỰ HOẠT ĐỘNG CỦA EMAIL TRONG THỰC TẾ 4 ĐIỀU TRA PHÁP LÝ E-MAIL Chương II: CÁC HÌNH THỨC TẤN CƠNG .9 GIẢ MẠO E-MAIL MALWARE DISTRIBUTION: 12 PHISING ATTACK .13 SPAM ATTACK 17 DENIAL OF SERVICE ATTACK: 20 Chương III: GIẢI PHÁP .22 PHÂN TÍCH MỘT THƠNG ĐIỆP ĐIỆN TỬ 22 HEADER ANALYSIS 26 PHISING ATTACK 29 SPAM ATTACK .32 Chương IV: THẢO LUẬN 35 KẾT LUẬN 39 LỜI NÓI ĐẦU Dù theo thời gian nhiều ứng dụng truyền tải thơng tin có xuất ngày nhiều, E-mail giữ chỗ đứng Mọi người sử dụng để liên lạc, gửi tài liệu, thực giao dịch khơng sử dụng từ máy tính mà tích hợp vào thiết bị điện tử khác điện thoại di động Vì tính phổ biến nên tội phạm sử dụng để thực hành vị lừa đảo, phát tán virus truyền thông tin liên lạc với đồng phạm Do email coi manh mối chí chứng cho qua điều tra thực thi pháp luật Mục đích chọn đề tài “Thu thập phân tích chứng từ Email” chúng em tìm hiểu kiến thức tổng quan kiến trúc email quan điểm điều tra kỹ thuật số Và liệt kê phương pháp công cụ sử dụng để thực phân tích Hơn nữa, việc thực đề tài hỗ trợ nhóm chúng em việc định hướng việc làm giúp chúng em có thêm kiến thức tảng, bổ ích để phục vụ cho công việc sau Với đề tài này, báo cáo nhóm em gồm chương: Chương I: Tổng quan Chương II: Các hình thức công email Chương III: Giải pháp Chương IV: Thảo luận Chương V: Kết luận Trong trình thực đề tài này, nhóm em cố gắng, xong khơng tránh khỏi thiếu sót Rất mong nhận góp ý, dẫn thầy cô bạn sinh viên pg Chương I: TỔNG QUAN Electronic Mail (E-Mail), ứng dụng sử dụng rộng rãi Internet trở thành dịch vụ sở hạ tầng truyền thông toàn cầu Tuy nhiên, lỗ hổng bảo mật cho phép tội phạm mạng lạm dụng cách giả mạo tiêu đề cách gửi ẩn danh cho mục đích bất hợp pháp, dẫn đến giả mạo e-mail Thư điện tử bao gồm phong bì xử lý q cảnh thơng tin theo dõi dạng trường có cấu trúc khơng bị loại bỏ sau gửi đi, để lại hồ sơ chi tiết giao dịch email Tiêu đề phân tích chi tiết sử dụng để lập đồ mạng qua tin nhắn, bao gồm thông tin phần mềm nhắn tin sách vá lỗi khách hàng cổng, v.v Phân tích e-mail pháp lý mạng sử dụng để thu thập chứng đáng tin cậy để đưa tội phạm trước công lý Qua cho ta thấy cần thiết việc điều tra pháp lý e-mail liệt kê phương pháp công cụ khác sử dụng để thực Nó thảo luận cách khác để phát tiêu đề giả mạo xác định nguồn GIỚI THIỆU E-MAIL E-mail dịch vụ phân phối cao liên quan đến số tác nhân đóng vai trị khác để hoàn thành trao đổi email đầu cuối (Crocke 2009) Những actor thuộc ba nhóm User Actors, Message Handling Service (MHS) Actors and ADministrative Management Domain (ADMD) Actors User Actors người gửi, người nhận, người xử lý trả lại hòa giải viên đại diện cho người, tổ chức quy trình đóng vai trị nguồn tin nhắn Họ tạo, sửa đổi xem tồn thơng điệp Message Handling Service (MHS) Actors nguồn gốc, chuyển tiếp, cổng người nhận chịu trách nhiệm chuyển tin nhắn từ đầu đến cuối Những tác nhân tạo, sửa đổi xem truyền liệu tin nhắn ADministrative Management Domain (ADMD) Actors Edges, Consumers Transits liên kết với tổ chức khác có thẩm quyền quản trị, sách hoạt động định dựa niềm tin riêng Các ứng dụng email chia làm hai loại chính, phụ thuộc vào vị trí lưu trữ chúng:  Web-based Email: lưu tất liệu server máy chủ web Một số ứng dụng phổ biến kiểu Gmail, Yahoo Mail, Hotmail, v.v pg Lợi ích việc sử dụng ứng dụng web-based email truy cập từ nơi giới, cần sử dụng username password để truy cập Một nhược điểm người dùng khơng biết liệu họ lưu trữ đâu  Desktop-based Email: Là ứng dụng email cài đặt máy tính để bàn Outlook, Thunderbird, Mail Bird,… ví dụ ứng dụng desktop-based email Tất liệu email lưu trữ máy tính cá nhân người dùng Do người dùng lo lắng việc bảo mật liệu Đây coi bất lợi số trường hợp, đặc biệt sử dụng hoạt động điều tra phạm tội chứng khơng thể thu thập từ máy chủ server HỆ THỐNG E-MAIL Hệ thống e-mail tích hợp số thành phần: phần cứng phần mềm, dịch vụ giao thức, cung cấp khả tương tác người dùng thành phần đường chuyển giao Hệ thống bao gồm máy tính người gửi máy chủ người gửi, máy tính người nhận máy chủ người nhận với phần mềm dịch vụ cần thiết cài đặt máy tính Bên cạnh đó, sử dụng hệ thống dịch vụ khác Internet Các máy chủ gửi nhận kết nối với Internet khách hàng người gửi người nhận kết nối với Internet yêu cầu Hình Các thành phần hệ thống e-mail  Mail User Agent (MUA): MUA thành phần tương tác trực tiếp với người dùng cuối Ví dụ MUA phần mềm Thunderbird, MS Outlook, Zimbra Desktop Các giao diện web mail Gmail Yahoo! pg coi MUA Một MUA hoạt động thay mặt tác giả gọi Author MUA(aMUA) hoạt động thay mặt người nhận gọi Receiver MUA(rMUA)  Mail Transfer Agent (MTA): MTA chịu trách nhiệm chuyển email từ mail server người gửi thư đến mail server người nhận thư Ví dụ MTA sendmail postfix  Mail Delivery Agent (MDA): Trong mail server nhận thư, local MTA chấp nhận email đến từ MTA người gửi Email sau gửi đến hộp thư người dùng MDA  Gửi Email : Simple Mail Transfer Protocol (SMTP)  Nhận Email : Post Office Protocol (POP) / Internet Message Access Protocol (IMAP)  POP / IMAP: Giao thức POP IMAP sử dụng để tìm nạp email từ hộp thư máy chủ người nhận tới MUA người nhận  Mail Exchanger Record (MX): MX record có nhiệm vụ đường cho email đến mail server bạn ( MX record thường kèm theo A record trỏ địa IP mail server , thơng số pref có giá trị số để mức độ ưu tiên mail server , giá trị pref nhỏ mức độ ưu tiên cao ) Khi người gửi thực gửi email , SMTP giúp đảm bảo chắn email gửi từ server người gửi tới server người nhận Khi email đến server người nhận MTA server nhận tiếp nhận email người gửi chuyển cho MDA local MDA sau writes email vào mailbox người nhận Khi người nhận dùng MUA để kiểm tra email, MUA dùng giao thức POP IMAP để lấy mail TRÌNH TỰ HOẠT ĐỘNG CỦA EMAIL TRONG THỰC TẾ Giả sử A@exampleA.tst gửi email tới userB@exampleB.tst Các kiện sau xảy người dùng gửi mail : pg MUA người gửi khởi tạo kết nối tới mail server mail.exampleA.tst giao thức SMTP (thường TCP Port 25) Mail server mail.exampleA.tst nhận email biết domain đích cần gửi email tới exampleB.tst Server mail.exampleA.tst tạo truy vấn đến máy chủ DNS để hỏi thông tin record MX domain exampleB.tst Giả sử khơng có thông tin domain exampleB.tst nhớ cache máy chủ DNS Máy chủ DNS tạo truy vấn đệ quy máy chủ DNS có thẩm quyền tìm hiểu chi tiết record MX pg domain exampleB.tst Thông tin trả cho server mail.exampleA.tst Bây server mail.exampleA.tst có địa IP mail server đích, gửi email trực tiếp tới mail server mail.exampleB.tst thông qua Internet SMTP sử dụng để liên lạc mail server nguồn đích Email đến nhận SMTP (MTA) cục server mail.exampleB.tst Sau nhận email, chuyển cho MDA, sau gửi thư đến hộp thư người nhận lưu trữ máy chủ Máy chủ có hộp thư riêng biệt cho người dùng Khi người nhận kiểm tra email qua giao thức POP IMAP, email MUA lấy từ máy chủ máy tính user Tùy thuộc vào cấu hình MUA, email tải xuống máy trạm, lưu giữ máy chủ máy trạm, email máy chủ MUA đồng hóa, tuỳ thuộc vào bạn chọn giao thức POP hay IMAP Ngồi người ta cịn có mail gate đứng trước mail server đảm nhận vai trò giống firewall với khả chống phishing , DLP(data loss prevention), lọc mail cao cấp hơn… ĐIỀU TRA PHÁP LÝ E-MAIL Pháp lý mạng liên quan đến việc thu thập phân tích liệu từ hệ thống máy tính, mạng, luồng truyền thơng có dây khơng dây phương tiện lưu trữ thông qua kỹ thuật khoa học chứng minh theo cách chấp nhận tòa án (Natarajan et al 2009) Nó cịn gọi pháp lý kỹ thuật số pháp lý máy tính Pháp lý mạng khoa học liên quan đến việc bắt, ghi lại phân tích lưu lượng mạng cho mục đích điều tra ứng phó cố (Emmanuel et al 2010) E-mail pháp lý liên quan đến việc điều tra e-mail loại pháp lý mạng chuyên dụng Nó đề cập đến việc nghiên cứu nguồn nội dung thư điện tử làm chứng để xác định người gửi người nhận thực tế tin nhắn, liệu / thời gian truyền, hồ sơ chi tiết giao dịch email, ý định người gửi, v.v Nghiên cứu liên quan đến điều tra siêu liệu, tìm kiếm từ khóa, qt cổng, v.v để phân bổ quyền tác giả xác định trò gian lận email Pháp lý e-mail đề cập đến việc nghiên cứu nguồn nội dung thư điện tử làm chứng, xác định người gửi, người nhận, ngày thời gian thực tế gửi, v.v Phân tích pháp lý email nhằm mục đích khám pg phá lịch sử thơng điệp danh tính tất thực thể liên quan Bên cạnh phân tích tin nhắn, pháp lý e-mail liên quan đến việc điều tra số máy tính khách máy chủ bị nghi ngờ sử dụng lạm dụng để giả mạo e-mail Nó liên quan đến kiểm tra Internet favorites, Cookies, History, Typed URL’s, Temporary Internet Files, Autocompletion Entries, Bookmarks, Contacts, Preferences, Cache v.v Một số công cụ phần mềm nguồn mở phát triển để thực phân tích tiêu đề email để thu thập chứng gian lận email Phân tích email hộp thư người nhận có chứa thư điện tử Thơng điệp phân tích để xác định nguồn gốc Phân tích liên quan đến việc điều tra thơng tin kiểm soát nội dung tin nhắn: hộp thư, tên miền, ID thư ENVID danh tính độc đáo toàn cầu sử dụng e-mail Hộp thư xác định địa email tên miền mã định danh tài nguyên mạng Message-ID sử dụng để phân luồng, hỗ trợ nhận dạng cho theo dõi Hệ thống tên miền (DNS) Mã định danh ENVelope (ENVID) sử dụng cho mục đích theo dõi tin nhắn E-mail bao gồm phong bì chứa thơng tin xử lý q cảnh sử dụng dịch vụ xử lý tin nhắn (MHS) nội dung tin nhắn bao gồm hai phần nội dung tiêu đề Nội dung văn bao gồm yếu tố đa phương tiện ngôn ngữ đánh dấu siêu văn (HTML) tệp đính kèm mã hóa tiện ích mở rộng thư Internet đa mục đích (MIME) (Resnick 2001) Tiêu đề tập hợp trường có cấu trúc bao gồm ‘From’, ‘To’, ‘Subject’, ‘Date’, ‘CC’, ‘BCC’, ‘Return-To’, v.v Tiêu đề bao gồm thư người gửi thành phần hệ thống email chứa thông tin theo dõi xử lý cảnh Hơn nữa, tin nhắn chứa liệu kiểm soát đặc biệt liên quan đến trạng thái phân phối (DS) thơng báo bố trí tin nhắn (MDN), v.v Thơng tin điều khiển tức phong bì tiêu đề bao gồm tiêu đề nội dung thư chứa thông tin người gửi và/hoặc đường dẫn mà thư qua đại diện cho siêu liệu thư điện tử Phân tích siêu liệu gọi phân tích tiêu đề sử dụng để xác định tính xác thông điệp Địa email người gửi chịu trách nhiệm gửi thư đến dịch vụ chuyển khoản định trường tiêu đề người gửi Trường tùy chọn cần định tác giả thư khác với người gửi Địa email tác giả chứa trường từ tiêu đề bắt buộc Nhiều địa khác liên quan đến tác giả người gửi thư, địa định trường Reply-To, MailFrom Return-Path Địa định tiêu đề Replypg To ghi đè địa từ để nhận phản hồi từ người nhận định MailFrom định địa nhận thơng tin kiểm sốt trả lại MDN DSN Địa không cần phải giống địa người gửi chịu trách nhiệm gửi thư Địa Return-Path địa MDA ghi lại từ mã định danh điều khiển MailFrom Các chương trình khách hàng e-mail giao diện webmail thêm tiêu đề hữu ích gọi X-Headers ngồi thơng tin khác chứa thơng tin hữu ích người gửi e-mail So sánh địa trường hợp khơng thể sử dụng để xác định tính xác thực người gửi giả mạo tất địa khơng ẩn địa người mà giả vờ người khác cách sử dụng địa email hợp lệ người khác trường Theo dõi thông tin dạng trường tiêu đề Nhận ghi lại người khởi tạo, chuyển tiếp, hòa giải điểm đến sử dụng để xác thực phần tên miền địa email người gửi Received-SPF xác thực địa email người gửi xác thực tên miền địa định tham số MailFrom Trường bảo mật DKIM-Signature có mặt sử dụng để xác thực phần tên miền địa email người gửi máy chủ gửi nhận tuân theo giao thức ký DKIM Do đó, sở khơng qn danh tính người gửi tiết lộ trường tiêu đề khác nhau, chun gia pháp lý đốn rộng tính xác thực địa email người gửi định cuối Người khởi tạo, Rơle bao gồm MTA Receiver thêm thông tin theo dõi đầu thư dạng trường tiêu đề Nhận Trả lại Đường dẫn Trường tiêu đề nhận định địa sử dụng tham số MailFrom khơng hữu ích nhiều cho điều tra pháp lý Trường Nhận chứa thông tin quan trọng bao gồm tên địa IP máy chủ có nguồn gốc, rơle MTA, hịa giải viên MSA Tuy nhiên, giả mạo địa IP cách sử dụng lạm dụng kỹ thuật khác đề cập chương Bên cạnh phân tích tiêu đề khác cách tiếp cận khác sử dụng cho pháp lý e-mail bao gồm chiến thuật mồi, điều tra máy chủ điều tra thiết bị mạng Tiêu đề tùy chỉnh MIME xuất nội dung tin nhắn phân tích cho dấu vân tay người gửi mã định danh nhúng phần mềm (Marwan 2005) pg Đoạn 12 trường tiêu đề Đã nhận thứ hai chứa thông tin theo dõi 127.0.0.1 địa IP máy gửi tin nhắn Máy thực có tên mailboxus-s-7b.tariq.com có địa IP a2.b2.c2.d2 Nó sử dụng lệnh EHLO SMTP để gửi thư Thư nhận mta1294.mail.mud.bob.com SMTP Tin nhắn nhận vào Thứ Ba, ngày 21 tháng 12 năm 2021 lúc 07:36:34 thời gian Đồng hồ chậm so với Giờ chuẩn Greenwich Các dòng From, Subject To địa e-mail tác giả, chủ đề thông điệp địa e-mail người nhận dự định Subject To định người gửi, địa To hệ thống lấy từ người dùng đăng nhập Tuy nhiên, tiêu đề To dễ bị giả mạo che giấu e-mail mẫu Các đoạn 14, 15 16 e-mail mẫu hiển thị giá trị ba trường Địa Từ bị giả mạo để mang địa Alice@a.com với tên thân thiện với người dùng Alice Content-Type, MIME-Version, Content-Transfer-Encoding Contentlength đoạn 17, 18, 19 20 tiêu đề MIME mơ tả loại nội dung MIME, mã hóa truyền, phiên độ dài để MUA thực giải mã thích hợp để hiển thị thơng báo thành công máy khách Đây địa chỉ, người gửi e-mail muốn người nhận sử dụng để gửi trả lời cho e-mail Thông thường, điều người gửi sử dụng để gửi trả lời Việc giả mạo người gửi làm thủ công cẩn thận kết hợp với địa email Reply-To giả dẫn đến rị rỉ thơng tin nghiêm trọng Địa Reply-To 'Smith' smith@smith.com Đoạn 21 địa tùy ý thuộc số người dùng khơng liên quan đến người gửi theo cách Trường tiêu đề tổ chức tổ chức người gửi xác nhận quyền sở hữu Tổ chức Alices Trường tiêu đề tổ chức trường thông tin đại diện cho tổ chức người gửi Người gửi thư rác lạm dụng để tạo ấn tượng sai người gửi thực e-mail Tiêu đề ngày cho biết e-mail soạn gửi để gửi vào Thứ Ba, ngày 19 tháng 12 năm 2021 21:06:22 +0530, không phù hợp với ngày trường Đã nhận Đoạn 23 Trường Return-Receipt-To cho biết địa e-mail, MSA, MTA MDA phải sử dụng để gửi thông báo gửi, chẳng hạn thông báo thành công thất bại Địa đề cập cho trường Đoạn 24 lại địa pg 25 tùy ý thuộc số người dùng khơng liên quan đến người gửi theo cách Trường Disposition-Notification-To địa e-mail, MUA phải sử dụng gửi tin nhắn cho biết tin nhắn hiển thị Địa định Đoạn 25 địa tùy ý thuộc số người dùng khơng liên quan đến người gửi theo cách Đoạn 26 chứa Id Thư thư 20101130153623.8F0AE139002E@mailbox-us-s-7b.tariq.com Nói chung, tên miền máy chủ gửi thêm số để tạo thành ID thư HEADER ANALYSIS Dữ liệu meta thơng điệp email dạng thơng tin kiểm sốt được, Tức tiêu đề nội dung thư có chứa thơng tin người gửi đường dẫn mà thư qua Một số bị giả mạo để che giấu danh tính người gửi Một phân tích chi tiết tiêu đề email đem lại manh mối Bạn truy xuất địa email cách phân tích kỹ tiêu đề đầy đủ email Tiêu đề email chứa thông tin định tuyến (routing information) siêu liệu email (email metadata) Đây thông tin mà đa số người dùng thường bỏ qua khơng để ý đến chúng lại đóng vai trị quan trọng việc truy tìm nguồn gốc email Hầu hết ứng dụng email không hiển thị đầy đủ tiêu đề email tiêu chuẩn tiêu đề chứa đầy liệu kỹ thuật mang tính chuyên ngành chút khiến người dùng phổ thông thêm rối mắt mà Tuy nhiên, hầu hết ứng dụng email hỗ trợ tính kiểm tra tiêu đề email đầy đủ:  Để xem tiêu đề email đầy đủ Gmail: Mở tài khoản Gmail bạn, sau mở email bạn muốn truy xuất nguồn gốc Di chuyển đến menu cuộn góc bên phải, sau chọn mục hiển thị gốc (Show original) pg 26  Xem tiêu đề email đầy đủ Outlook: Nhấp đúp vào email bạn muốn truy xuất nguồn gốc, sau vào File chọn Properties Thơng tin xuất tiêu đề internet (internet headers)  Xem tiêu đề email đầy đủ Apple Mail: Mở email bạn muốn theo dõi, sau di chuyển chuyển đến View > Message > Raw Source Có nhiều thơng tin hiển thị tiêu đề email đầy đủ, bạn cần ý điều sau: Bạn đọc theo trình tự từ lên trên, từ thơng tin cũ đến thơng tin (có nghĩa thơng tin cũ cùng) Hãy xem tiêu đề email mẫu lấy từ tài khoản Gmail trang MakeUseOf: pg 27 Để truy xuất địa IP người gửi email, ý đến “Received” tiêu đề email đầy đủ Bên cạnh dòng “Received” địa IP máy chủ gửi email Đôi khi, nội dung hiển thị dạng XOriginating-IP Original-IP Tìm địa IP, sau di chuyển đến trang MX TOOLBOX Nhập địa IP vào hộp thoại, thay đổi phương thức tìm kiếm thành Reverse Lookup, sau nhấn enter Kết tìm kiếm hiển thị nhiều thơng tin liên quan đến máy chủ gửi email pg 28 Trừ địa IP gốc địa IP riêng tư, cịn khơng, bạn nhận thơng báo sau: Miền IP 10.0.0.0-10.255.255.255, 172.16.00-172.31.255.255, 192.168.0.0-192.168.255.255 224.0.0.0-239.255.255.255 miền IP riêng tư Sẽ khơng có kết trả bạn tra cứu địa IP PHISING ATTACK Xem khơng nhấp Việc đính kèm đường link, file chứa virus hay phần mềm độc hại chiêu trò lừa đảo phổ biến từ hacker Những phần mềm gây hại, làm hỏng file máy bạn Hoặc nhờ chúng mà tội phạm lấy mật khẩu, thông tin cá nhân Một điều nguy hiểm may bạn bị cài phần mềm gián điệp pg 29 Vì khơng mở file lạ đính kèm Email Nếu bạn muốn kiểm tra liên kết này, mở cửa sổ khác Sau nhập trực tiếp địa lên thay bấm vào liên kết từ Email khai báo thông tin cá nhân Một ngân hàng hợp pháp hay doanh nghiệp uy tín khơng u cầu bạn phải đưa thơng tin cá nhân qua Email Vì bạn tuyệt đối không cung cấp thơng tin cá nhân có u cầu khai báo thông tin Cẩn thận với lời lẽ thể khẩn cấp Những Email lừa đảo thường có câu nói tạo cảm giác cấp bách, sợ hãi cho người nhận Đây chiến thuật lừa đỏa vô tinh vi Bạn cần cảnh giác trước câu nói “tài khoản bạn tạm thời bị ngừng truy cập” Hoặc có trường hợp “ nỗ lực đăng nhập trái phép”… Để ý thơng tin chi tiết Email khơng có thơng tin liên hệ cụ thể chữ ký không rõ ràng Đây biểu hình thức Phishing Email Bởi doanh nghiệp hợp pháp chắn cung cấp thông tin liên hệ chi tiết >>> Xem thêm: Tạo email tên miền riêng - Xây dựng thương hiệu doanh nghiệp pg 30 Cách phòng chống Phishing Email: Đối với cá nhân + Không click vào đường link gửi qua Email bạn khơng chắn 100% an tồn + Khơng gửi thơng tin bí mật qua Email + Khơng trả lời thư lừa đảo Những kẻ gian lận thường gửi cho bạn số điện thoại để bạn gọi cho họ mục đích kinh doanh Họ sử dụng công nghệ Voice over Internet Protocol Với công nghệ này, gọi họ khơng truy tìm + Sử dụng Tường lửa phần mềm diệt virus Hãy nhớ cập nhật phiên phần mềm + Hãy chuyển tiếp thư rác đến spam@uce.gov Bạn gửi email tới reportphishing@antiphishing.org Tổ chức giúp chống lại phishing khác Cách phòng chống Phishing Email Đối với tổ chức, doanh nghiệp + Training cho nhân viên để tăng kiến thức sử dụng Internet an toàn Thường xuyên tổ chức buổi tập huấn, diễn tập tình giả mạo pg 31 + Sử dụng dịch vụ G-suite dành cho doanh nghiệp, không nên sử dụng dịch vụ Gmail miễn phí dễ bị giả mạo + Triển khai lọc SPAM để phòng tránh thư rác, lừa đảo + Luôn cập nhật phần mềm, ứng dụng để tránh lỗ hổng bảo mật bị kẻ công lợi dụng + Chủ động bảo mật thông tin nhạy cảm, quan trọng Xem thêm Giải pháp bảo mật thông tin cho doanh nghiệp SPAM ATTACK Nếu người dùng gửi hàng loạt Email để quảng bá doanh nghiệp mình, hộp thư rác (Spam Box) nơi chứa Email họ Vì thực theo phương pháp sau để hàng loạt Email quảng bá “tránh xa” lọc thư rác:  Nâng cao danh tiếng độ tin cậy người gửi  Sử dụng cơng cụ xác thực thích hợp (Authentication Instruments)  Kiểm tra Email để tìm Email Spam  Làm việc để có Open-Rate cao  Đưa nội dung phù hợp  Người dùng chọn tham gia (Opt-in)  Sử dụng dịch vụ Email gửi hàng loạt đáng tin cậy Nâng cao danh tiếng độ tin cậy người gửi Danh tiếng người gửi (Sender Reputation) điểm số định cho người gửi dựa chất lượng chiến dịch Email, tần suất, dung lượng tương tác người dùng Tránh gửi nhiều Email q thường xun mang lại dấu hiệu tiêu cực cho lọc ESP Email tương lai người gửi bị coi Spam Sử dụng công cụ xác thực thích hợp (Authentication Instruments) Đảm bảo dịch vụ gửi Email hàng loạt mà người dùng sử dụng vượt qua xác thực xác với kiểm tra DKIM SPF Một số nhà cung cấp cung cấp cho người dùng máy chủ SMTP đáng tin cậy để đảm bảo Email người dùng đến hộp thư Inbox người đăng ký DKIM (DomainKeys Identified Mail) biết đến phương pháp xác thực Email chữ ký số miền gửi Email Trong khóa (Key) cơng khai pg 32 thường công bố DNS dạng TXT Record Khi gửi Email, ký Email chèn lên đầu Email trường DKIM-Signature có nội dung đặc biệt DKIM cung cấp tính riêng biệt: chữ ký xác minh Một số chúng xử lý Module tác nhân chuyển thư (MTA – Message Transfer Agent) Tùy vào hệ thống Mail Server có hướng dẫn khác cấu hình DKIM phía Server Để thiết lập DKIM, liên hệ với nhà cung cấp dịch vụ Hosting Vì tùy vào dịch vụ Hosting khác mà cách thiết lập khác Ví dụ: Đối với Plesk, đăng nhập trang quản trị hosting tài khoản admin: chọn Domain Settings -> General -> Email Signing -> Enable Các Tool để kiểm tra: mxtoolbox.com dmarcanalyzer.com Kiểm tra Email để tìm Email Spam Sử dụng trình kiểm tra Spam Email (Email Spam Checker) – cơng cụ cho phép người dùng dự đoán phản ứng ESP phổ biến Email họ, nhận phản hồi Email thực thay đổi theo khuyến cáo ESP trước gửi Làm việc để có Open-Rate cao Dịng tiêu đề chủ yếu tạo nên Open-Rate (tỷ lệ mở Email xem nội dung) Vì làm cho hấp dẫn, gây tị mò quan trọng phù hợp với nội dung mail Các chiến dịch Email có Open-Rate cao cho thấy người đăng ký nhận Email thích quan tâm đến nội dung người gửi, điều đảm bảo khả gửi Email hiệu không bị đánh dấu Spam Đưa nội dung phù hợp Gửi tin quảng bá khuyến có liên quan với nhu cầu cá nhân phân loại đối tượng Hãy chia đối tượng thành nhóm có điểm chung tuổi, giới tính, vị trí tăng thêm giá trị cho mail Người dùng chọn tham gia (Opt-in) Luật yêu cầu gửi mail cho người dùng sẵn sàng cung cấp địa Email họ cho phía người gửi Sử dụng phương pháp chọn tham gia kép (Double Opt-in) để đảm bảo người đăng ký người có tương tác, họ đánh dấu Email bên gửi thành Email Spam pg 33 Email lừa đảo kêu gọi quyên góp cứu trợ động đất Nhật Bản Thơng thường, người gửi gửi hàng loạt Email máy chủ, họ phải quan tâm đến việc quản lý sở hạ tầng độ tin cậy lẫn danh tiếng máy chủ Vì nhà cung cấp dịch vụ Email gửi hàng loạt đảm nhận công việc phức tạp pg 34 Chương IV: THẢO LUẬN Trong thông điệp e-mail mẫu, số trường bị giả mạo phát dễ dàng trường “Received” hiển thị địa người gửi xác thực khác với địa người gửi thư Tuy nhiên, địa người gửi xác thực khơng phải lúc bao gồm kết xác thực (trong trường hợp chế xác thực tuân thủ người thơng báo loại bỏ dịng này) Hơn nữa, ngày tháng khơng qn lưu ý từ việc so sánh dấu thời gian tiêu đề “Received” trường ngày Một số trường tiêu đề với ngữ cảnh để xác thực thông báo email phân tích thảo luận thêm đây: Cơ chế SPF sử dụng để mô tả tập hợp máy chủ định gửi thư tới miền Bên cạnh việc thành công hay thất bại, việc thử nghiệm dẫn đến kết “softfail”, “neutral”, “none”, “permerror” “temperror” Ví dụ, mục “Received-SPF” “Received” thành cơng sau: Received-SPF: pass (mta1104.mail.mud.tariq.com: tên miền domainsq@tariq.com định a2.b2.c2.d2 người gửi phép) Tại đây, mta1104.mail.mud.tariq.com thơng báo cho người nhận thơng qua Received-SPF miền domainsq@tariq.com, tức domainsq.com có địa IP a2.b2.c2.d2 người gửi phép Khung sách người gửi định (Wong 2006) Trong trường hợp, tên miền alice.com bị khiếu nại DomainKeys DKIM vượt qua kiểm tra này, sau: Authentication-Results: mta1294.mail.mud.bob.com from=alice.com; domainkeys=pass (ok); from=a.com; dkim=pass (ok) Trong trường hợp này, bao gồm DKIM-Signature (Allma et al 2007) / trường DomainKey-Signature sau: DKIM-Signature: v=1; a=rsa-sha1; c=simple; d=alice.com; h=from:to:subject:date:message-id:content-type q=dns/txt; s=s512; bh=XX…………=; b=XXX………==; Đây Chữ ký DKIM Signature ký thuật toán SHAI, DKIM sử dụng email có tiêu đề nội dung để tạo chữ ký Nếu tiêu đề viết lại văn thêm vào nội dung thư sau ký, xác minh pg 35 DKIM không thành công DKIM tương thích ngược với hệ thống DomainKeys Khi tin nhắn e-mail ký DKIM, bao gồm số "thẻ" có giá trị chứa liệu xác thực cho tin nhắn gửi Trong ví dụ trên, thẻ sử dụng là:  a= Đây thuật tốn mã hóa sử dụng để tạo chữ ký theo mặc định "rsa-sha1"  q= Nó định phương thức truy vấn sử dụng để truy xuất khóa cơng khai mà theo mặc định dns  c= Đây thuật toán chuẩn hóa 1.e phương pháp mà tiêu đề nội dung chuẩn bị để trình bày với thuật tốn ký  s= Nó chọn sử dụng khóa cơng khai  d= Đây tên miền chữ ký  b= Dữ liệu chữ ký khóa cơng khai, mã hóa dạng chuỗi Base64 Tiêu đề ngày thể ngày e-mail soạn gửi để gửi Tuy nhiên, hồ sơ bị giả mạo (Banday 2010a) thực thơng điệp e-mail mẫu Có thể dễ dàng nhận thấy cách so sánh giá trị với ngày tháng trường tiêu đề Received Message-Id thơng điệp Nhận dạng đính kèm với thơng điệp email Mọi email thư có ID thư giúp quản trị viên xác định vị trí email nhật ký máy chủ Thông thường, máy chủ gửi sử dụng thuật toán tùy chỉnh riêng để tạo số nối tên miền với số để làm cho trở thành internet ID giúp xác định miền người gửi bị giả mạo để gây nhầm lẫn cho nhà điều tra Trường tiêu đề “Received” đại diện cho thông tin theo dõi chứa địa IP máy sử dụng để gửi thông điệp e-mail Khi theo dõi địa IP này, có số trường hợp giải thích bên dưới:  Địa IP trường tiêu đề “Received” ánh xạ để điều hướng kết nối có địa IP tĩnh Trong trường hợp này, địa địa máy tính người gửi Tuy nhiên, địa IP động nhật ký máy chủ proxy SMTP cần phải thu để tiếp tục theo dõi e-mail  Địa IP có tiêu đề “Received” tương ứng với số máy chủ proxy Trong trường hợp này, phải lấy nhật ký máy chủ proxy để theo pg 36 dõi người gửi Máy chủ proxy mở gây số vấn đề cho nhà điều tra họ khơng trì nhật ký hoạt động nghiêm ngặt Trong trường hợp SSL sử dụng để đăng nhập vào máy chủ e-mail dựa HTTP, proxy vấn đề địa IP máy khách ghi lại Máy chủ proxy cơng ty khơng đồng hóa thời gian chúng sử dụng Giao thức thời gian mạng (NTP) cản trở việc điều tra Máy chủ proxy ISP thường trì nhật ký đồng hóa theo thời gian nghiêm ngặt (sử dụng giao thức STIME) có sách rõ ràng để hợp tác với nhà điều tra  Địa IP theo dõi ánh xạ tới số máy chủ tạo đường hầm Trong trường hợp này, việc theo dõi nguồn thư điện tử khó khăn việc đào đường hầm thực theo nhiều cách khác số không ghi nhật ký  Địa IP trường tiêu đề “Received” ánh xạ tới máy chủ SMTP Trong trường hợp này, phải lấy nhật ký máy chủ SMTP Địa IP ánh xạ tới máy chủ SMTP thuộc ISP, số công ty rơle mở Trong trường hợp, ghi lưu trữ phải lấy Nếu nhật ký đồng hóa theo thời gian nghiêm ngặt, người gửi theo dõi dễ dàng ISP máy chủ SMTP cơng ty cung cấp thêm thơng tin chi tiết người dùng cụ thể chi tiết liên hệ số thẻ tín dụng họ  Địa IP có trường “Received” chuyển thành Người thông báo người gửi lại thư Trong trường hợp này, nhà điều tra phải lấy nhật ký thông báo e-mail gốc từ máy chủ SMTP HTTP ẩn danh Hơn nữa, trường hợp dịch vụ ẩn danh dịch vụ trả phí, bạn phải lấy thông tin chi tiết tài khoản người dùng Cũng thêm nhiều tiêu đề “Received” sai trường liệu thư với ý định đóng băng điều tra Điều tra viên phải ý cẩn thận đến tất trường tiêu đề “Received” nhau, đặc biệt phương thức gửi ngày Nếu phương thức phân phối khác thời gian ngày tháng khác đáng kể, tiêu đề sai dễ dàng xảy xác định Nếu không, điều tra phải điều tra tất địa IP yêu cầu nhật ký từ tất máy chủ Có thể khó theo dõi người gửi từ địa IP người gửi giả mạo địa IP cấp độ gói (Ehrenkranz et al 2009) Sau nguồn thư điện tử điều tra xác định pg 37 số người bị nghi ngờ nguồn gốc, máy tính họ, phần mềm ứng dụng thư điện tử, trình duyệt web, v.v điều tra để tìm dấu vết chứng pg 38 KẾT LUẬN Pháp y thư điện tử, loại pháp y mạng chuyên biệt liên quan đến việc điều tra nội dung thư điện tử để xác định người gửi, người nhận thực tế, liệu thời gian gửi đi, v.v Nó bao gồm việc điều tra hệ thống nguồn đích thiết bị trung gian sử dụng để phân phối Phân tích tiêu đề thực nội dung thư điện tử để xác định tính hợp pháp Giả mạo, mạng trái phép mở rơ le thư, người thông báo người gửi lại thư, proxy mở, đường hầm SSH trình chuyển hướng cổng, mạng botnet kết nối Internet truy cập cách tiếp cận phổ biến mà người gửi nói dối người nhận danh tính thực họ Các cơng cụ phần mềm khác thực phân tích tiêu đề tự động kiểm tra thiết bị mạng phát triển để hỗ trợ điều tra nhanh chóng Chúng bao gồm tính báo cáo lạm dụng Hỗ trợ nhiều định dạng hộp thư, phân loại e-mail, v.v Người ta thấy trường tiêu đề thơng điệp e-mail tiết lộ trực tiếp danh tính người gửi bị giả mạo trừ giao thức bảo mật tương thích sử dụng máy chủ gửi nhận Tuy nhiên, tiêu đề nhận thư chứa địa IP ban đầu máy tính sử dụng để gửi thư e-mail, theo dõi để xác định người gửi Trong trường hợp địa IP có đồ thực địa nhận ánh xạ tới số tài nguyên Internet, người gửi theo dõi cách xác định danh tính người từ nhật ký trì máy chủ thiết bị mạng khác pg 39 ... thực phân tích tiêu đề email để thu thập chứng gian lận email Phân tích email hộp thư người nhận có chứa thư điện tử Thơng điệp phân tích để xác định nguồn gốc Phân tích liên quan đến việc điều tra. .. chí chứng cho qua điều tra thực thi pháp luật Mục đích chọn đề tài ? ?Thu thập phân tích chứng từ Email? ?? chúng em tìm hiểu kiến thức tổng quan kiến trúc email quan điểm điều tra kỹ thu? ??t số Và liệt... máy chủ Máy chủ có hộp thư riêng biệt cho người dùng Khi người nhận kiểm tra email qua giao thức POP IMAP, email MUA lấy từ máy chủ máy tính user Tùy thu? ??c vào cấu hình MUA, email tải xuống máy