HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN Module 19: Theo dõi email và điều tra tội phạm qua email Giảng viên hướng dẫn: Nguyễn Mạnh Thắng 1 Kiến thức cơ bản về hệ thống Email 2 Tội phạm Email 3 Tiêu đề Email 4 Các bước để điều tra 5 Công cụ Email Forensics 6 Luật và các hành vi chống lại tội phạm Email 1 Kiến thức cơ bản về hệ thống Email 2 Tội phạm Email 3 Tiêu đề Email 4 Các bước để điều tra 5 Công cụ Email Forensics 6 Luật và các hành vi chống lại tội phạm Email Thuật ngữ Email IMAP (Internet Message Access Protocol) BCC (Blind Carbon Copy) Đây là một phương pháp để truy cập các thông báo bảng Trường cho phép bạn gửi một bản sao của tin nhắn đến người thông báo hoặc email nằm trên máy chủ thư, làm cho chúng nhận thứ hai mà không cần thông báo cho người nhận chính hiển thị và hoạt động như thể chúng được lưu trữ cục bộ SMTP (Simple Mail Transfer Protocol) Nó nhận thư đi từ máy khách và xác thực địa chỉ nguồn và địa Tập tin đính kèm chỉ đích, cũng gửi và nhận email đến và từ các máy chủ SMTP Tệp được gửi cùng với một email có thể thuộc bất kỳ loại nào khác HTTP (HyperText Transfer Protocol) Email khách hàng Nó được sử dụng trong webmail và thư nằm trên máy chủ Chương trình dùng để đọc và gửi email. Ứng dụng email khách webmail điển hình bao gồm Outlook Express hoặc Eudora Máy chủ Email POP3 (Post Office Protocol 3) Máy chủ chạy tại Nhà cung cấp dịch vụ Internet hoặc một Giao thức chuẩn để nhận email xóa thư trên máy chủ ngay sau trang web lớn được kết nối với Internet để vận chuyển email. khi người dùng tải xuống. Cổng tiêu chuẩn cho POP3 là 110 Một máy chủ email thường được sử dụng là sendmail (Mail Transport Agent) Mã hóa CC (Carbon Copy) Phương pháp gửi tệp nhị phân (không phải văn bản) bằng Trường trong tiêu đề email hướng bản sao của thư đến một ID email.
Các tùy chọn mã hóa phổ biến bao gồm Uuencode, thư của người nhận khác BinHex, Mime, v. 4 Hệ thống Email Hệ thống email bao gồm các máy khách thư để gửi hoặc tìm nạp email và hai máy chủ SMTP và POP3 hoặc IMAP khác nhau chạy trên một máy chủ Email được gửi từ máy khách đến máy Hệ thống email dựa trên kiến trúc máy chủ trung tâm, máy chủ này sẽ định khách-máy chủ tuyến lại email đến đích đã định 5 Email clients • Ứng dụng email là một ứng dụng máy tính cho phép bạn gửi, nhận và sắp xếp email • Ứng dụng email thực hiện các chức năng sau: Cho phép người dùng tạo thư mới và gửi Lấy tin nhắn từ hộp thư chúng đến máy chủ email Hiển thị tiêu đề của tất cả các Cho phép người dùng thêm tệp đính kèm vào thư thư trong hộp thư muốn gửi và lưu tệp đính kèm từ thư đã nhận Cho phép bạn chọn tiêu đề thư và đọc nội dung Định dạng tin nhắn thư Ứng dụng email khách được sử dụng phổ biến nhất: • Microsoft Outlook và Thunderbird (Độc lập) • Yahoo! Mail, Gmail, Hotmail, v. (Dựa trên web) 6 Email server Email hoặc máy Máy chủ email • Khi một email được • Máy chủ email chủ thư là một trao đổi email gửi đi, ứng dụng kiểm tra tính hợp máy tính trong với máy chủ khách trước tiên sẽ lệ của tên người mạng hoạt động SMTP chuyển nó đến máy dùng với máy chủ như một bưu cục chủ email email khác ảo • Điều này liên hệ với • Nếu được xác máy chủ email của thực, nó sẽ người nhận địa chỉ chuyển email và và thực hiện cuộc máy chủ nhận trò chuyện theo các email sẽ lưu trữ quy tắc được xác nó cho đến khi định bởi SMTP qua người nhận địa chỉ Internet đăng nhập và tải xuống 7 SMTP server ▪ Máy chủ SMTP kết nối với máy chủ SMTP của người nhận bằng cổng 25 ▪ Máy chủ SMTP có cuộc trò chuyện với Máy chủ định danh miền, lấy thông tin nhận dạng cho Miền của máy chủ email từ xa và kết nối với SMTP của máy chủ email từ xa ▪ Máy chủ SMTP nhận địa chỉ "tới" và chia nó thành hai phần: + Tên người nhận + Tên miền ▪ Máy chủ Giao thức truyền thư đơn giản (SMTP) lắng nghe trên cổng số 25 và xử lý email gửi đi ▪ Khi máy khách gửi email, nó sẽ kết nối với máy chủ SMTP ▪ Máy khách có một cuộc trò chuyện với máy chủ SMTP, cho máy chủ SMTP biết địa chỉ của người gửi, người nhận và nội dung thư 8 POP3 và IMAP server Máy chủ Post Office Protocol (POP3) • Máy chủ email này chỉ được sử dụng cho các email đến • Khi một thư đến, máy chủ POP3 sẽ gắn nó vào cuối tệp tài khoản của người nhận, tệp này có thể được ứng dụng email khách truy Máy chủ Internet Message Access xuất bất kỳ lúc nào được ưu tiên Protocol (IMAP) • Ứng dụng email khách kết nối với máy chủ • Ứng dụng khách email kết nối với máy chủ POP3 tại cổng 110 theo mặc định để tìm nạp IMAP bằng cổng mặc định 143 email • Máy chủ IMAP cho phép nhiều kết nối máy khách đồng thời vào cùng một hộp thư • Nó cho phép truy cập và tìm nạp các phần thư MIME, duy trì thông tin trạng thái thư tại máy chủ, tạo và thao tác nhiều hộp thư trên máy chủ và các tìm kiếm phía Máy POP3 có thể nói là một dịch vụ lưu trữ và chuyển tiếp trong khi IMAP là một máy chủ tập tin từ xa; cả hai đều chủ. được sử dụng để đọc email 9 Tin nhắn điện tử Một email bao gồm ba phần: 1.
Tiêu đề • Tiêu đề email chứa thông tin về nguồn gốc của email như địa chỉ nơi nó đến, định tuyến, thời gian của thư và dòng chủ đề • Một số thông tin tiêu đề thường quan trọng đối với kỹ thuật viên được ẩn bởi phần mềm email 2. Nội dung Nội dung chứa thông báo thực tế 3. Chữ ký Được người gửi sử dụng để cung cấp thông tin cho người nhận về người gửi. Các chương trình email có thể được thiết lập để nhập dòng này tự động trên tất cả các email đã gửi 10 Tầm quan trọng của quản lý hồ sơ điện tử Quản lý hồ sơ điện tử có thể được định nghĩa là Lĩnh vực quản lý chịu trách nhiệm kiểm soát hiệu quả và có hệ thống việc tạo, nhận, duy trì, sử dụng và xử lý hồ sơ điện tử, bao gồm các quá trình thu thập và duy trì bằng chứng và thông tin cho pháp lý, tài chính, hành chính và các mục đích kinh doanh khác Tầm quan trọng của quản lý hồ sơ điện tử: Nó giúp không từ chối giao tiếp điện tử để ai đó không 1 thể phủ nhận là nguồn của giao tiếp Nó hoạt động như một sự ngăn chặn đối với các tài liệu 2 lạm dụng và không đứng đắn trong thư email 3 Nó giúp điều tra và truy tố tội phạm email 11 1 Kiến thức cơ bản về hệ thống Email 2 Tội phạm Email 3 Tiêu đề Email 4 Các bước để điều tra 5 Công cụ Email Forensics 6 Luật và các hành vi chống lại tội phạm Email Tội phạm Email Tội phạm email có thể được chia thành hai loại: Tội phạm bằng cách gửi email Tội phạm được hỗ trợ bởi email Quấy rối, tống tiền trên mạng, Email spamming, mail bombing, gian lận danh tính, nội dung khiêu phishing, v.
13 Gửi thư rác • Gửi thư rác có thể được định nghĩa là gửi các email không được yêu cầu • Những kẻ gửi thư rác lấy được địa chỉ email bằng cách thu thập địa chỉ từ các bài đăng trên Usenet, danh sách DNS hoặc các trang web • Người dùng có địa chỉ email hợp lệ có thể spam địa chỉ email, dịch vụ bảng thông báo hoặc nhóm tin 14 Email Bombing/ Email Storm Email Bombing • Gửi khối lượng lớn email đến một địa chỉ nhằm cố gắng làm tràn hộp thư hoặc làm tràn ngập máy chủ nơi lưu trữ địa chỉ email để gây ra cuộc tấn công từ chối dịch vụ • Trong nhiều trường hợp, các thông báo sẽ lớn và được xây dựng từ dữ liệu vô nghĩa nhằm tiêu tốn thêm tài nguyên hệ thống và mạng Email Storm Đó là sự gia tăng đột biến về số lượng thư "Trả lời tất cả" trên danh sách phân phối email, do một thư chuyển hướng sai 15 Phishing • Đây là một hành vi tội phạm khi gửi một email không hợp pháp, giả mạo là từ một trang web hợp pháp nhằm cố gắng lấy thông tin cá nhân hoặc tài khoản của người dùng • Email lừa đảo chuyển hướng người dùng đến các trang web giả mạo của các trang web đáng tin cậy yêu cầu họ gửi thông tin cá nhân của họ • Các cuộc tấn công lừa đảo có thể nhắm mục tiêu hàng triệu địa chỉ email trên khắp thế giới bằng cách sử dụng hệ thống gửi thư hàng loạt 16 Phishing 17 Tấn công Email • Giả mạo email là giả mạo tiêu đề email để thư có vẻ như bắt nguồn từ một người nào đó hoặc một nơi nào đó không phải là nguồn thực tế. • Những kẻ gửi thư rác và thủ phạm lừa đảo thay đổi các trường tiêu đề email như From, Return – Bath, Reply –To-Fields để ẩn nguồn thư thực tế. Ví dụ: Sử dụng dịch vụ Anonymailer, ông Smith, có địa chỉ email là smith@hotmail.com, có thể gửi vi rút, trojan, worms, v. cho bạn bè của Sam bằng địa chỉ email samchoang@yahoo.com của Sam.
Bạn bè của Sam sau đó sẽ tải chúng xuống và tin rằng chúng đến từ một nguồn đáng tin cậy. 18 Tội phạm qua phòng chat Phòng trò chuyện là một trang Chúng cũng có thể được sử dụng web, một phần của trang web như một công cụ kỹ nghệ xã hội hoặc một phần của dịch vụ trực để thu thập thông tin để thực tuyến cung cấp địa điểm cho hiện một số tội phạm khác. cộng đồng người dùng có chung sở thích giao tiếp trong thời gian thực. Phòng trò chuyện ngày càng Chúng là tính năng thường xuyên được sử dụng cho nhiều loại tội của các trang web người lớn khác phạm như khiêu dâm trẻ em, nhau và được sử dụng rộng rãi theo dõi trên mạng và trộm danh để phổ biến tài liệu khiêu dâm tính.