Перейти к содержанию

Пришло подозрительное письмо. Хочу сам провести анализ, но не хватает знаний.

Pechkin80

Автор Pechkin80
в Беседка

 Поделиться

Рекомендуемые сообщения

Pechkin80

Pechkin80

Опубликовано
Опубликовано

Получил подозрительное письмо и решил попробовать его самостоятельно изучить, но анализ загаловков X-* сильно озадачил. Не могу конвертировать их.
Кодировка base64 Конвертируется в utf-8 только тело. Тело содержит Html оболочку и никаких скриптов. Вообщем тело само по себе не опасно,  но могут ли X-* заголовки в дополнии к телу быть опасными ?

 

  

import base64
f = open('/home/user/Downloads/Message16147404551440204960.eml','r+', encoding="utf-8")
print(f.read())
f.close()

 

Вручную проиннициллизирую строку base64_message частью письма, что напечатоно print(f.read())
и делаю конвертацию:

  

base64_bytes = base64_message.encode("utf-8")
message_bytes = base64.b64decode(base64_bytes)
message = message_bytes.decode("utf-8")

 

Но вот заголовки понять не могу. Особенно хотел конвертировать X-D57D3AED 

X-7564579A: 78E4E2B564C1792B
X-77F55803: 119C1F4DF6A9251C6DF90EC03B5064685644D67BB9F601960DCF54ABC278 80C5ABF6EAE57C0FACE9C2A34231BB2B53F6D8DD9AD33CFD045DC8310E0C EEB11AAEBEEDD2E345AB2254
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
X-C1DE0DAB: 0D63561A33F958A57B877B836AC313532879F59CFB7E00FBFE2D2BFADCF5 28EBBDC6A1CF3F042BAD6DF99611D93F60EF31C0090ACECF247D699F904B 3F4130E343918A1A30D5E7FCCB5012B2E24CD356
X-C8649E89: 4E36BF7865823D7055A7F0CF078B5EC49A30900B95165D34A2EC12013542 0F9083708549267B1456BEFA788FAAC4154FC58651D9352E77EB07E158DD 7211CCB61D7E09C32AA3244C2FDB5D05F3DF9982444EE3782E1BE2F051E8 87DA02A9F7BFED98077840A144B9
X-D57D3AED: 3ZO7eAau8CL7WIMRKs4sN3D3tLDjz0dLbV79QFUyzQ2Ujvy7cMT6pYYqY16i ZVKkSc3dCLJ7zSJH7+u4VD18S7Vl4ZUrpaVfd2+vE6kuoey4m4VkSEu530nj 6fImhcD4MUrOEAnl0W826KZ9Q+tr5+wYjsrrSY/u8Y3PrTqANeitKFiSd6Yd7yPpbiiZ/d5BsxIjK0jGQgCHUM3Ry2Lt2G3MDkMauH3h0dBdQGj+BB/iPzQYh7XS329fgu+/vnDhaR2H16sDnW6mpgoBjFXd0Q==
X-Mailru-Sender: 1F4679C53DB0563CBC1F60D671EC559B0F0BBAAE7E847643C7F0BB44E5AB D26172EBEA168CF460951EDDB4AD946E6551B03F39422D21567EABFA9124 D980965A8D6BC15CB04E7293134AD3DBB8A01B9D551266B884A1B3DBDC42 095E7BE5DDA30D4ABDE8C577C2ED

Если заголовки X-* могут содержать опасные скрипты, то буду благодарен, если кто подскажит.

Во вложении само письмо в котором я звездочками замазал свой имейл.

 

letter.zip

regist

regist

Опубликовано
Опубликовано

Тема перенесана в Беседку. В разделе "Помощь в удалении вирусов" только лечение от вирусов.

andrew75

andrew75

Опубликовано
Опубликовано

Эти заголовки создает mail.ru, поэтому ничего вредоносного там быть не может.

А что конкретно они значат это вопрос к ним.

Pechkin80

Pechkin80

Опубликовано
  • Автор
Опубликовано (изменено)
04.03.2021 в 19:37, andrew75 сказал:

Эти заголовки создает mail.ru, поэтому ничего вредоносного там быть не может.

А что конкретно они значат это вопрос к ним.

А как узнать что заголовок создан mail.ru, а не кем -то еще  ?

Я может много хочу, но цель в том числе знать на будущее как реагировать.

Разве заголовки не могут содержать скриптов вообще ?

Изменено пользователем Pechkin80
andrew75

andrew75

Опубликовано
Опубликовано

Достаточно посмотреть заголовки любого письма, отправленного через mail.ru и вы увидите там подобный блок.

Он начинается:

Authentication-Results: smtp**.i.mail.ru; ....

И в конце стоит:

X-Mailru-Sender: ....

 

Скрипты конечно в заголовок засунуть можно. Но, насколько я понимаю, они там никак не сработают, а будут проигнорированы. 

Pechkin80

Pechkin80

Опубликовано
  • Автор
Опубликовано
18 часов назад, andrew75 сказал:

Достаточно посмотреть заголовки любого письма, отправленного через mail.ru и вы увидите там подобный блок.

Он начинается:

Authentication-Results: smtp**.i.mail.ru; ....

И в конце стоит:

X-Mailru-Sender: ....

 

Скрипты конечно в заголовок засунуть можно. Но, насколько я понимаю, они там никак не сработают, а будут проигнорированы. 

Я читал разное. Вроде можно в тему например засунуть скрипт. Спасибо за Ваше мнение. 

Буду рад если тут выскажется ктото из группы консультанты.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Что делать, если пришло фишинговое письмо | Блог Касперского
      Автор KL FC Bot
      Чаще всего фишинговые письма застревают в папке «Спам», потому что сегодня большинство из них легко распознаются почтовыми защитными системами. Но иногда эти системы ошибаются и в корзину попадают настоящие, не мошеннические сообщения. Сегодня расскажем, как распознать фишинговые письма и что с ними делать.
      Признаки фишинговых писем
      Существуют несколько общепринятых признаков, которые могут явно указывать на то, что письмо прислано мошенниками. Вот некоторые из них:
      Яркий заголовок. Фишинговое письмо, вероятнее всего, будет каплей в море вашего почтового ящика. Именно поэтому мошенники обычно стараются выделиться в наименовании словами-триггерами вроде «срочно», «приз», «деньги», «розыгрыш» и всем похожим, что должно побудить вас как можно скорее открыть письмо. Призыв к действию. Разумеется, в таком письме вас будут просить сделать хотя бы что-то из этого списка: перейти по ссылке, оплатить какую-нибудь ненужную вещь, посмотреть подробности во вложении. Главная цель злоумышленников — выманить жертву из почты в небезопасное пространство и заставить тратить деньги или терять доступы к аккаунтам. «Истекающий» таймер. В письме может быть таймер: «Перейдите по ссылке, она активна в течение 24 часов». Все подобные уловки — чушь, мошенникам выгодно торопить жертву, чтобы она начала паниковать и менее бережно относиться к своим деньгам. Ошибки в тексте письма. В последний год участились случаи, когда фишинговое письмо приходит сразу на нескольких языках, причем со странными ошибками. Странный адрес отправителя. Если вы живете, например, в России и вам пришло письмо с итальянского адреса — это повод насторожиться и полностью проигнорировать его содержимое. Раньше еще одним верным признаком фишингового письма было обезличенное обращение вроде «Уважаемый пользователь», но мошенники сделали шаг вперед. Теперь все чаще письма приходят адресные, с упоминанием имени жертвы. Их тоже нужно игнорировать.
       
      View the full article
×
×
  • Создать...