AF-3DFB-EM · E-posta

Sahte CEO E-postası

İNDİRİLEBİLİR gerçek .eml. CEO'dan geliyormuş gibi görünen bir BEC e-postası. Header korelasyonuyla gerçek kökeni bul; forged X-Originating-IP tuzaktır.

Senaryo

Gerçek bir e-posta dosyası (.eml). From, şirketin CEO'su gibi görünür ama SAHTEDİR (spf=fail, dmarc=fail). Gerçek köken Received zincirindeki dış sunucudur. Attacker, yanıtların kendisine gitmesi için Reply-To koymuştur (BEC). Bir forged X-Originating-IP başlığı içeri-gibi görünür ve yanıltır. Gerçek köken IP'sini ve attacker adresini bul; forged başlığı raporlama.

Anti-forensics teknikleri

Display-name / From spoofing (BEC)
Forged X-Originating-IP (red herring)
Received zinciri korelasyonu

Sağlanan artefaktlar

RFC822 e-posta (.eml, tam header)

Örnek sorular

q1: E-postanın gerçek köken IP'si nedir? (Received zinciri)
q2: Attacker'ın yanıt beklediği adres (Reply-To) nedir?
q3: Hangi teknik kullanıldı? (örn. spoofing / BEC)
trap1: Forged X-Originating-IP'yi gerçek köken diye raporlama.

Soundness tuzağı

X-Originating-IP içeri (10.0.0.5) gibi görünür ama forged'dur; köken diye raporlamak ağır ceza. Gerçek köken Received zincirindeki dış IP'dir.

Puanlama

Header korelasyonu + forged-başlık direnci (soundness).

İNDİRİLEBİLİR

İndir ve çöz

Artefaktı indir

Cevap anahtarı gizlidir (puanlı set); bayrak şifrelidir, çözmen gerekir.