Phishing coraz rzadziej daje się wykryć na tzw. "oko”. Grafika, język i podpisy są często perfekcyjne. To, co zdradza oszustwo, znajduje się w nagłówkach technicznych wiadomości.
Poniżej analizę kilku typowych scenariuszy ataku – wraz z interpretacją krok po kroku.
Scenariusz 1: Podszycie pod bank (klasyczny spoofing)
Return-Path: <security @bank-login-verification.com>
From: "Bank Wielka Polska" <kontakt @wielkapolskabank.pl>
Received: from vps12x3.hosting.net (185.xxx.xxx.111)
Received-SPF: fail
Authentication-Results: spf=fail; dkim=fail; dmarc=fail
Analiza:
From vs Return-Path → różne domeny → spoofing
SPF FAIL → serwer nieuprawniony
DKIM FAIL → brak podpisu lub manipulacja
DMARC FAIL → polityka domeny odrzucona
Wniosek: 100% phishing – prosta próba podszycia się pod korespondencję z banku.
Scenariusz 2: Phishing „lepszej jakości” próba podszycia się pod firmę kurierską (SPF PASS, ale nadal oszustwo)
Return-Path: <mailer @trusted-newsletter.com>
From: "Kurier DHL" <powiadomienia @dhl.com>
Received: from smtp.trusted-newsletter.com (192.0.2.10)
Received-SPF: pass
dkim=pass
dmarc=pass
Dlaczego to jest niebezpieczne? Tu wszystko wygląda poprawnie:
SPF ✔
DKIM ✔
DMARC ✔
A jednak to phishing. Co zdradza, że to atak? →różne domeny
-
- domena wysyłająca: trusted-newsletter.com
- domena widoczna: dhl.com
To tzw. phishing przez legalny serwis mailingowy (np. newsletter, CRM). Atakujący:
-
- zakłada konto w systemie mailingowym,
- ustawia nazwę nadawcy "DHL”,
- wysyła wiadomość z poprawną autoryzacją techniczną.
Wniosek: Nagłówek technicznie poprawny ≠ wiadomość bezpieczna.
Scenariusz 3: Atak przez przejęte konto (najtrudniejszy do wykrycia)
Return-Path: <pracownik @fxxirma.pl>
From: "Jan Kowalski" <pracownik @fxxirma.pl>
Received: from mail.fxxirma.pl (203.0.113.5)
Received-SPF: pass
dkim=pass
dmarc=pass
Analiza. Wszystko się zgadza:
-
- domena ✔
- serwer ✔
- SPF/DKIM/DMARC ✔
To może oznaczać: przejęcie konta (np. przez wcześniejszy phishing) i wysyłanie z legalnej skrzynki pocztowej.
-
- Jedyny sygnał: nietypowa treść ("kliknij link”, "pilne”, "faktura”),
- zmiana stylu pisania,
- podejrzany link.
Wniosek: Analiza nagłówka nie zawsze wystarczy – potrzebna jest także analiza kontekstu.
Scenariusz 4: Manipulacja łańcuchem "Received”
Received: from fake-relay (10.0.0.1)
Received: from attacker-pc (unknown [45.67.89.10])
- Kluczowa zasada: Nagłówki czytamy od dołu do góry,
- Najniższy wpis w nagłówku: from attacker-pc (unknown [45.67.89.10]) to prawdziwe źródło wiadomości,
- Często stosowany trik: Atakujący dodaje fałszywe wpisy "Received”, aby ukryć źródło, zasugerować legalny serwer.
Wniosek: Pierwszy (dolny) wpis jest najważniejszy, pozostałe mogą być manipulacją.
Głębsze techniki analizy
- Korelacja IP z organizacją. Sprawdź: czy IP należy do firmy (banku, kuriera), czy to hosting (OVH, AWS, VPS).
Przykładowo jeśli bank wysyła wiadomość z VPS – coś jest nie tak. - Reverse DNS (rDNS). Sprawdź, czy IP ma sensowną nazwę:
mail.wielkapolskabank.pl - ✔,
vps-185-208-xxx-111.hosting.net - ❌ bardzo podejrzanie. - Zgodność domen (alignment DMARC). DMARC sprawdza zgodność:
domeny w "From” z domeny w SPF/DKIM
Jeśli są różne → potencjalny phishing, nawet przy PASS. - Analiza czasu (timestamp)
- różne strefy czasowe,
- nielogiczne opóźnienia,
- „skoki” czasowe
Mogą wskazywać na manipulację. - Heurystyka treści + nagłówka
Najlepsze efekty daje połączenie analizy technicznej (nagłówki) oraz analizy treści (socjotechnika).
Narzędzia do analizy
Do szybkiej weryfikacji możesz użyć:
- MXToolbox,
- Google Admin Toolbox
Automatycznie rozbijają nagłówek, pokazują SPF/DKIM/DMARC, wizualizują trasę wiadomości.
Kluczowe wnioski:
- FAIL w SPF/DKIM/DMARC = bardzo duże ryzyko,
- PASS ≠ bezpieczeństwo (patrz scenariusz 2 i 3),
- Najważniejsze pola:
- Received
- Return-Path
- Authentication-Results
Zawsze sprawdzaj zgodność domen. Nagłówek + zdrowy rozsądek = najlepsza ochrona. Pamiętaj najgroźniejsze ataki to te, które wyglądają technicznie poprawnie.
Uwaga: użyte adresy e-mail i nr IP są przykładowe i nic nie znaczące. W analizie nagłówka wiadomości spotkasz się z innymi, autentycznymi rzeczywiście użytymi do wysłania wiadomości.
Wszelkie treści o charakterze poradnikowym powinny być traktowane jako wiedza ogólna, w przypadku konkretnych problemów należy skonsultować się z wykwalifikowanym specjalistą.
Grafika tytułowa wygenerowana przez model AI OpenAI (ChatGPT / DALL·E).
