Phenquestions
Архитектура электронной почты:
Когда пользователь отправляет электронное письмо, оно не попадает непосредственно на почтовый сервер на стороне получателя; скорее, он проходит через разные почтовые серверы.
MUA - это программа на стороне клиента, которая используется для чтения и составления электронных писем. Существуют разные MUA, такие как Gmail, Outlook и т. Д. Всякий раз, когда MUA отправляет сообщение, оно переходит к MTA, который декодирует сообщение и определяет местоположение, которое оно должно быть отправлено, считывая информацию заголовка, и изменяет его заголовок, добавляя данные, а затем передает его MTA на принимающей стороне. Последний MTA, присутствующий непосредственно перед тем, как MUA декодирует сообщение и отправляет его MUA на принимающей стороне. Вот почему в заголовке письма мы можем найти информацию о нескольких серверах.
Анализ заголовка электронного письма:
Криминалистика электронной почты начинается с изучения электронной почты заголовок поскольку он содержит огромное количество информации об электронном сообщении. Этот анализ состоит из изучения тела содержимого и заголовка электронного письма, содержащего информацию о данном письме. Анализ заголовка электронной почты помогает выявить большинство преступлений, связанных с электронной почтой, таких как целевой фишинг, спам, подмена электронной почты и т. Д. Спуфинг - это метод, с помощью которого можно притвориться кем-то другим, и нормальный пользователь на мгновение может подумать, что это его друг или какой-то человек, которого он уже знает. Просто кто-то отправляет электронные письма с поддельного адреса электронной почты своего друга, и дело не в том, что его учетная запись взломана.
Анализируя заголовки электронных писем, можно узнать, получено ли электронное письмо с поддельного адреса электронной почты или с реального. Вот как выглядит заголовок электронного письма:
Кому доставлено: [адрес электронной почты защищен]Получено: к 2002 году: a0c: f2c8: 0: 0: 0: 0: 0 с идентификатором SMTP c8csp401046qvm;
Ср, 29 июл 2020 05:51:21 -0700 (PDT)
X-Получено: к 2002 году: a92: 5e1d :: с идентификатором SMTP s29mr19048560ilb.245.1596027080539;
Ср, 29 июл 2020 05:51:20 -0700 (PDT)
ARC-Seal: i = 1; а = rsa-sha256; t = 1596027080; cv = нет;
d = гугл.com; s = arc-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Или2Q ==
Подпись сообщения ARC: i = 1; а = rsa-sha256; c = расслабленный / расслабленный; d = гугл.com; s = arc-20160816;
h = to: subject: message-id: date: from: mime-version: dkim-signature;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxQTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
ARC-Authentication-Results: i = 1; mx.Google.com;
dkim = передать заголовок [защищенный адрес электронной почты].s = 20161025 заголовок.b = JygmyFja;
spf = пройти (google.com: домен из [email protected] обозначает 209.85.22000 как
разрешенный отправитель) [электронная почта защищена];
dmarc = pass (p = NONE sp = QUARANTINE dis = NONE) заголовок.from = gmail.ком
Обратный путь: <[email protected]>
Получено: от mail-sor-f41.Google.com (mail-sor-f41.Google.ком. [209.85.000.00])
автор: mx.Google.com с идентификатором SMTPS n84sor2004452iod.19.2020 г.07.29.00.00.00
для <[email protected]>
(Безопасность транспорта Google);
Ср, 29 июл 2020 05:51:20 -0700 (PDT)
Получено-SPF: пройти (google.com: домен из [email protected] обозначает 209.85.000.00
как разрешенный отправитель) client-ip = 209.85.000.00;
Результаты аутентификации: mx.Google.com;
dkim = передать заголовок [защищенный адрес электронной почты].s = 20161025 заголовок.b = JygmyFja;
spf = пройти (google.com: домен [защищенный адрес электронной почты] обозначает
209.85.000.00 как разрешенный отправитель) [электронная почта защищена];
dmarc = pass (p = NONE sp = QUARANTINE dis = NONE) заголовок.from = gmail.ком
DKIM-подпись: v = 1; а = rsa-sha256; c = расслабленный / расслабленный;
d = gmail.com; s = 20161025;
h = mime-версия: от: дата: идентификатор-сообщения: тема: к;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
X-Google-DKIM-Signature: v = 1; а = rsa-sha256; c = расслабленный / расслабленный;
d = 1e100.сеть; s = 20161025;
h = x-gm-message-state: mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
X-Gm-сообщение-состояние: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
X-Google-Smtp-Источник: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
X-Получено: к 2002 году: a05: 0000: 0b :: с идентификатором SMTP v11mr21571925jao.122.1596027079698;
Ср, 29 июл 2020 05:51:19 -0700 (PDT)
MIME-версия: 1.0
От: Маркус Стойнис <[email protected]>
Дата: 29 июля 2020 г., среда, 17:51:03 +0500
Идентификатор сообщения: <[email protected]om>
Предмет:
Кому: [адрес электронной почты защищен]
Content-Type: составной / альтернативный; border = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Content-Type: текст / простой; charset = "UTF-8"
Чтобы понять информацию заголовка, нужно понимать структурированный набор полей в таблице.
X-очевидно, чтобы: Это поле полезно, когда электронное письмо отправляется более чем одному получателю, например, скрытая копия или список рассылки. Это поле содержит адрес К поле, но в случае скрытой копии X-По-видимому, к поле другое. Итак, это поле указывает адрес получателя, несмотря на то, что электронное письмо отправлено как cc, bcc или каким-либо списком рассылки.
Обратный путь: Поле Return-path содержит почтовый адрес, который отправитель указал в поле From.
Получено SPF: Это поле содержит домен, с которого пришла почта. В этом случае его
Получено-SPF: пройти (google.com: домен из [email protected] обозначает 209.85.000.00 как разрешенный отправитель) client-ip = 209.85.000.00;
Коэффициент X-спама: На принимающем сервере или MUA есть программное обеспечение для фильтрации спама, которое вычисляет рейтинг спама. Если оценка спама превышает определенный предел, сообщение автоматически отправляется в папку для спама. Некоторые MUA используют разные имена полей для оценок спама, например Коэффициент X-спама, статус X-спама, флаг X-спама, уровень X-спама так далее.
Получили: Это поле содержит IP-адрес последнего сервера MTA на отправляющей стороне, который затем отправляет электронное письмо MTA на принимающей стороне. В некоторых местах это можно увидеть под X возникла в поле.
Заголовок X-сита: В этом поле указывается название и версия системы фильтрации сообщений. Это относится к языку, который используется для определения условий фильтрации сообщений электронной почты.
Кодировки X-спама: Это поле содержит информацию о наборах символов, используемых для фильтрации электронных писем, таких как UTF и т. Д. UTF - хороший набор символов, который имеет обратную совместимость с ASCII.
X-разрешено: Это поле содержит адрес электронной почты получателя, или мы можем сказать адрес почтового сервера, на который MDA отправителя доставляет. В большинстве случаев, X-доставлен, и это поле содержит тот же адрес.
Результаты аутентификации: В этом поле указано, прошло ли полученное письмо от данного домена DKIM подписи и Ключи домена подпись или нет. В этом случае это.
Результаты аутентификации: mx.Google.com;dkim = передать заголовок [защищенный адрес электронной почты].s = 20161025 заголовок.b = JygmyFja;
spf = пройти (google.com: домен [защищенный адрес электронной почты] обозначает
209.85.000.00 как разрешенный отправитель)
Получили: Первое полученное поле содержит информацию трассировки, поскольку IP-адрес машины отправляет сообщение. Он покажет имя машины и ее IP-адрес. В этом поле можно увидеть точную дату и время получения сообщения.
Получено: от mail-sor-f41.Google.com (mail-sor-f41.Google.ком. [209.85.000.00])автор: mx.Google.com с идентификатором SMTPS n84sor2004452iod.19.2020 г.07.29.00.00.00
для <[email protected]>
(Безопасность транспорта Google);
Ср, 29 июл 2020 05:51:20 -0700 (PDT)
Кому, от и тема: Поля «Кому», «от» и «тема» содержат информацию об адресе электронной почты получателя, адресе электронной почты отправителя и теме, указанной во время отправки электронного письма отправителем соответственно. Поле темы остается пустым, если отправитель оставит его таким же образом.
Заголовки MIME: Для MUA для правильного декодирования, чтобы сообщение было безопасно отправлено клиенту, MIME кодирование передачи, MIME содержание, его версия и длина - важная тема.
MIME-версия: 1.0Тип содержимого: текст / обычный; charset = "UTF-8"
Тип содержимого: составной / альтернативный; border = "00000000000023294e05ab94032b"
Идентификатор сообщения: Идентификатор сообщения содержит доменное имя, к которому отправляющий сервер добавляет уникальный номер.
Идентификатор сообщения: <[email protected]om>Исследование сервера:
В этом типе расследования изучаются дубликаты переданных сообщений и рабочие журналы, чтобы отличить источник электронного письма. Даже если клиенты (отправители или получатели) удаляют свои сообщения электронной почты, которые невозможно восстановить, эти сообщения могут регистрироваться серверами (прокси-серверами или поставщиками услуг) большими частями. Эти прокси хранят дубликаты всех сообщений после их передачи. Кроме того, журналы, которые ведутся работниками, могут быть сконцентрированы для отслеживания местоположения ПК, ответственного за обмен электронной почтой. В любом случае прокси или интернет-провайдер хранят дубликаты электронной почты и журналов сервера только в течение некоторого периода времени, и некоторые из них могут не сотрудничать с судебными следователями. Кроме того, сотрудники SMTP, которые хранят такую информацию, как номер Visa и другую информацию, относящуюся к владельцу почтового ящика, могут использоваться для различения людей, скрывающихся за адресом электронной почты.
Тактика наживки:
В расследовании этого типа электронное письмо с http: «” тег, имеющий источник изображения на любом компьютере, проверенном экспертами, отправляется отправителю расследуемого электронного письма, содержащего подлинные (аутентичные) адреса электронной почты. В момент, когда электронное письмо открывается, на HTTP-сервере записывается раздел журнала, содержащий IP-адрес того, кто находится на принимающей стороне (отправителя виновника), того, на котором размещено изображение, и в соответствии с этими строками отправитель является последовал. В любом случае, если человек на принимающей стороне использует прокси, то отслеживается IP-адрес прокси-сервера.
Прокси-сервер содержит журнал, который можно использовать в дальнейшем для отслеживания отправителя расследуемого электронного письма. В случае, если даже журнал прокси-сервера недоступен из-за каких-либо объяснений, в этот момент экзаменаторы могут отправить неприятное электронное письмо с Встроенная Java Applet, который работает в компьютерной системе получателя или HTML-страница с Active X Object чтобы выследить желаемого человека.
Исследование сетевого устройства:
Сетевые устройства, такие как брандмауэры, reuters, коммутаторы, модемы и т. Д. содержат журналы, которые можно использовать для отслеживания источника электронного письма. В этом типе расследования эти журналы используются для исследования источника электронного сообщения. Это очень сложный вид судебно-медицинской экспертизы, который редко используется. Он часто используется, когда журналы прокси-сервера или провайдера недоступны по какой-либо причине, например, из-за отсутствия обслуживания, лени или отсутствия поддержки со стороны провайдера.
Программные встроенные идентификаторы:
Некоторые данные о составителе присоединенных к электронной почте записей или архивов могут быть включены в сообщение программным обеспечением электронной почты, используемым отправителем для составления письма. Эти данные могут быть запомнены для типа настраиваемых заголовков или как содержимое MIME в формате TNE. Исследование электронной почты на предмет этих тонкостей может выявить некоторые важные данные о предпочтениях и вариантах электронной почты отправителей, которые могут поддержать сбор доказательств на стороне клиента. Исследование может выявить имена документов PST, MAC-адрес и т. Д. На компьютере клиента, который использовался для отправки сообщений электронной почты.
Анализ вложений:
Среди вирусов и вредоносных программ большинство из них рассылается по электронной почте. Изучение вложений электронной почты является срочным и важным при любой проверке, связанной с электронной почтой. Распространение личных данных - еще одна важная область исследования. Есть программное обеспечение и инструменты, доступные для восстановления связанной с электронной почтой информации, например, вложений с жестких дисков компьютерной системы. Для проверки сомнительных связей следователи загружают вложения в онлайн-песочницу, например, VirusTotal, чтобы проверить, является ли документ вредоносным. Как бы то ни было, для управления в верхней части списка приоритетов критически важно, чтобы независимо от того, проходит ли запись оценку, например, VirusTotal, это не является гарантией того, что она полностью защищена. Если это произойдет, разумно будет продолжить исследование записи в песочнице, например, Cuckoo.
Отпечатки отправителя почтового отправителя:
При рассмотрении Получили поле в заголовках, можно идентифицировать программное обеспечение, которое обрабатывает электронные письма на стороне сервера. С другой стороны, при изучении X-mailer поле, программное обеспечение, которое обрабатывает электронную почту на стороне клиента, может быть идентифицировано. Эти поля заголовка отображают программное обеспечение и его версии, используемые на стороне клиента для отправки электронного письма. Эти данные о клиентском ПК отправителя можно использовать, чтобы помочь экзаменаторам сформулировать действенную стратегию, и, таким образом, эти строки оказываются очень ценными.
Инструменты электронной почты:
В последнее десятилетие было создано несколько инструментов или программного обеспечения для расследования преступлений по электронной почте. Но большинство инструментов были созданы изолированно. Кроме того, большинство из этих инструментов не предназначены для решения конкретной проблемы, связанной с цифровыми или компьютерными нарушениями. Вместо этого они планируют искать или восстанавливать данные. Были улучшены инструменты судебной экспертизы, чтобы облегчить работу следователя, и в Интернете есть множество замечательных инструментов. Некоторые инструменты, используемые для криминалистического анализа электронной почты, перечислены ниже:
EmailTrackerPro:
EmailTrackerPro исследует заголовки сообщения электронной почты, чтобы распознать IP-адрес машины, отправившей сообщение, чтобы можно было найти отправителя. Он может отслеживать разные сообщения одновременно и эффективно отслеживать их. Расположение IP-адресов является ключевыми данными для определения уровня опасности или легитимности электронного сообщения. Этот замечательный инструмент может быть привязан к городу, откуда, по всей вероятности, было отправлено электронное письмо. Он распознает интернет-провайдера отправителя и предоставляет контактные данные для дальнейшего изучения. Подлинный путь к IP-адресу отправителя учитывается в управляющей таблице, предоставляя дополнительные данные о площади, чтобы помочь определить фактическую территорию отправителя. Элемент сообщения о злоупотреблениях в нем очень хорошо может быть использован для упрощения дальнейшего изучения. Чтобы защитить себя от спама, он проверяет и проверяет электронные письма на предмет попадания в черные списки спама, например, Spamcops. Он поддерживает разные языки, включая спам-фильтры на японском, русском и китайском языках, а также на английском языке. Важным элементом этого инструмента является выявление злоупотреблений, при помощи которого можно составить отчет, который может быть отправлен поставщику услуг (ISP) отправителя. После этого интернет-провайдер может найти способ найти владельцев учетных записей и помочь избавиться от спама.
Xtraxtor:
Этот замечательный инструмент Xtraxtor создан для разделения адресов электронной почты, номеров телефонов и сообщений из файлов разных форматов. Он естественным образом выделяет область по умолчанию и быстро исследует информацию электронной почты для вас. Клиенты могут делать это без особых усилий извлекать адреса электронной почты из сообщений и даже из файловых вложений. Xtraxtor восстанавливает удаленные и не очищенные сообщения из многочисленных конфигураций почтовых ящиков и почтовых учетных записей IMAP. Кроме того, у него простой в освоении интерфейс и хорошая функция помощи, которая упрощает действия пользователя, и он экономит кучу времени благодаря быстрой электронной почте, подготовке двигателя и функциям удаления дублирования. Xtraxtor совместим с файлами Mac MBOX и системами Linux и может предоставлять мощные функции для поиска необходимой информации.
Advik (инструмент для резервного копирования электронной почты):
Advik, инструмент резервного копирования электронной почты, является очень хорошим инструментом, который используется для передачи или экспорта всех писем из почтового ящика, включая все папки, такие как отправленные, черновики, входящие, спам и т. Д. Пользователь может без особых усилий скачать резервную копию любой учетной записи электронной почты. Преобразование резервных копий электронной почты в различные форматы файлов - еще одна замечательная функция этого замечательного инструмента. Его главная особенность - Расширенный фильтр. Эта опция может сэкономить огромное количество времени, экспортируя нужные нам сообщения из почтового ящика в кратчайшие сроки. IMAP Функция дает возможность получать электронные письма из облачных хранилищ и может использоваться со всеми поставщиками услуг электронной почты. Адвик может использоваться для хранения резервных копий в выбранном нами месте и поддерживает несколько языков, включая английский, включая японский, испанский и французский.
Systools MailXaminer:
С помощью этого инструмента клиент может изменять свои каналы поиска в зависимости от ситуации. Это дает клиентам альтернативу заглядывать внутрь сообщений и подключений. Более того, этот инструмент электронной почты для судебной экспертизы дополнительно предлагает комплексную помощь для научной проверки электронной почты как рабочей области, так и электронного администрирования электронной почты. Это позволяет экспертам рассматривать более одного случая на законных основаниях. Аналогичным образом, с помощью этого инструмента анализа электронной почты специалисты могут даже просматривать детали чата, выполнять проверку звонков и просматривать детали сообщений между различными клиентами приложения Skype. Основными особенностями этого программного обеспечения являются то, что оно поддерживает несколько языков, включая английский, включая японский, испанский, французский и китайский, а формат, в котором он восстанавливает удаленные письма, приемлем для суда. Он обеспечивает представление управления журналом, в котором хорошо видны все действия. Системные инструменты MailXaminer совместим с dd, e01, zip и многие другие форматы.
Жалоба:
Есть инструмент под названием Adcomplain который используется для сообщений о коммерческих письмах и сообщениях ботнетов, а также о таких объявлениях, как «заработать быстрые деньги», «быстрые деньги» и т. д. Adcomplain сам выполняет анализ заголовка отправителя электронной почты после идентификации такой почты и сообщает об этом интернет-провайдеру отправителя.
Заключение :
Электронное письмо используется почти каждым человеком, пользующимся интернет-сервисами по всему миру. Мошенники и киберпреступники могут подделывать заголовки электронных писем и анонимно отправлять электронные письма с вредоносным и мошенническим контентом, что может привести к компрометации данных и взломам. И это то, что увеличивает важность судебно-медицинской экспертизы электронной почты. Киберпреступники используют несколько способов и приемов, чтобы лгать о своей личности, например:
- Спуфинг:
Чтобы скрыть свою личность, злоумышленники подделывают заголовки писем и заполняют их неверной информацией. Когда подмена электронной почты сочетается с подменой IP-адреса, очень сложно отследить настоящего человека, стоящего за этим.
- Несанкционированные сети:
Сети, которые уже скомпрометированы (включая проводные и беспроводные), используются для рассылки спама, чтобы скрыть личность.
- Открытые почтовые реле:
Неправильно настроенный почтовый ретранслятор принимает почту со всех компьютеров, включая те, с которых он не должен принимать. Затем он перенаправляет его в другую систему, которая также должна принимать почту с определенных компьютеров. Этот тип почтового ретранслятора называется открытым почтовым ретранслятором. Этот вид реле используется мошенниками и хакерами, чтобы скрыть свою личность.
- Открытый прокси:
Машина, которая позволяет пользователям или компьютерам подключаться через нее к другим компьютерным системам, называется Прокси сервер. Существуют разные типы прокси-серверов, такие как корпоративный прокси-сервер, прозрачный прокси-сервер и т. Д. в зависимости от типа анонимности, которую они предоставляют. Открытый прокси-сервер не отслеживает записи о действиях пользователей и не ведет журналы, в отличие от других прокси-серверов, которые хранят записи о действиях пользователей с соответствующими отметками времени. Такие прокси-серверы (открытые прокси-серверы) обеспечивают анонимность и конфиденциальность, которые ценны для мошенников или злоумышленников.
- Анонимайзеры:
Анонимайзеры или ретрансляторы - это веб-сайты, работающие под предлогом защиты конфиденциальности пользователя в Интернете и делающие их анонимными путем намеренного удаления заголовков из электронного письма и отказа от ведения журналов сервера.
- SSH-туннель:
В Интернете туннель означает безопасный путь для передачи данных в ненадежной сети. Туннелирование может быть выполнено разными способами, в зависимости от используемого программного обеспечения и техники. Используя функцию SSH, можно установить туннелирование переадресации портов SSH и создать зашифрованный туннель, который использует соединение по протоколу SSH. Мошенники используют SSH-туннель при отправке писем, чтобы скрыть свою личность.
- Ботнеты:
Термин «бот», полученный от «робота» в его традиционной структуре, используется для изображения контента или набора контента или программы, предназначенной для выполнения заранее определенных действий снова и снова и, следовательно, после того, как они были активированы преднамеренно или в результате заражения системы. Несмотря на то, что боты начинались как полезный элемент для выполнения утомительных и утомительных действий, они все же используются в злонамеренных целях. Боты, которые используются для механизированного выполнения реальных упражнений, называются добрыми ботами, а те, которые предназначены для злонамеренной цели, известны как злонамеренные боты. Ботнет - это система ботов, ограниченная ботмастером. Ботмастер может приказать своим управляемым ботам (злостным ботам) работать на взломанных компьютерах по всему миру, чтобы отправлять электронную почту в определенные места, маскируя своего персонажа и совершая мошенничество с электронной почтой или мошенничество с электронной почтой.
- Неотслеживаемые подключения к Интернету:
Интернет-кафе, университетский городок, различные организации предоставляют пользователям доступ в Интернет через общий доступ к Интернету. В этом случае, если не ведется надлежащий журнал действий пользователей, очень легко совершить незаконную деятельность и мошенничество с электронной почтой и избежать наказания за это.
Криминалистический анализ электронной почты используется для определения фактического отправителя и получателя электронного письма, даты и времени его получения, а также информации о промежуточных устройствах, участвующих в доставке сообщения. Также доступны различные инструменты для ускорения задач и легкого поиска нужных ключевых слов. Эти инструменты анализируют заголовки электронных писем и в кратчайшие сроки дают судебному следователю желаемый результат.
