L'indagine forense delle e-mail si riferisce allo studio approfondito della fonte e del contenuto che risiedono nelle e-mail. Lo studio prevede l'identificazione del mittente e del destinatario effettivi delle e-mail in questione, timestamp della trasmissione dell'e-mail, intenzione della posta, registrazione della transazione e-mail completa. L'indagine sulle e-mail si rivela utile in casi quali abuso di e-mail, phishing e-mail, truffe tramite e-mail e altri casi in cui l'utilizzo dell'e-mail è diffamato. Le parti dell'indagine e-mail includono la ricerca per parole chiave, l'indagine sui metadati, la scansione della porta, ecc.
Tecniche per l'indagine via e-mail
Di seguito sono riportate le varie tecniche utilizzate per eseguire un'indagine e-mail efficace e senza interruzioni:
1) Analisi dell'intestazione dell'email
Analisi dell'intestazione è fatto per estrarre le informazioni riguardanti il mittente della mail e anche il percorso attraverso il quale la mail è stata trasmessa. Di solito, i metadati delle e-mail sono archiviati nelle intestazioni. A volte, queste intestazioni possono essere manomesse per nascondere la vera identità del mittente.
2) Tattiche di esca
È il processo per tracciare l'indirizzo IP del mittente di una particolare posta oggetto di indagine. In questa tecnica, una mail contenente un tag http: “$lt;img src>” viene inviata all'indirizzo mail da cui è stata ricevuta la mail. Il destinatario in questo caso è il colpevole. Quando la posta viene aperta, un registro contenente l'indirizzo IP del destinatario viene acquisito dal server di posta che ospita l'immagine e il destinatario viene tracciato. Nel caso in cui il destinatario utilizzi un server proxy, l'indirizzo del server proxy viene registrato.
3) Estrazione dal server
L'indagine sul server è utile quando le e-mail che risiedono sul mittente e sul destinatario sono state eliminate in modo permanente. Poiché i server mantengono un registro delle e-mail inviate e ricevute, l'analisi del registro genererà tutte le e-mail eliminate. Inoltre, i log possono fornire le informazioni sulla fonte da cui sono state generate le email. L'analisi del server non significa che tutte le email eliminate possono essere estratte. Questo perché dopo un certo periodo di conservazione, le email vengono eliminate definitivamente da un server.
4) Indagine sulle fonti di rete
Questa indagine viene scelta quando i log del server non riescono a generare le informazioni richieste. Inoltre, se i provider di servizi Internet non concedono l'accesso al server, viene scelta l'indagine sulle origini di rete. I log generati da hub di rete, router, firewall, ecc. forniscono informazioni sull'origine del messaggio di posta elettronica.
Strumenti popolari implementati per l'indagine e-mail
Sono disponibili numerosi strumenti di indagine e-mail che aiutano nel processo di indagine completo. Questi strumenti generano report automatizzati dell'indagine, identificano l'origine e la destinazione delle e-mail e molto altro. Alcuni degli strumenti che fanno parte di questo dominio sono:
1) In caso
Nel caso consente agli investigatori di eseguire l'imaging dell'unità e conservarla nel formato E01, che può essere indagato in modo forense e può anche essere presentato in tribunale come prova.
2) FK
Toolkit forense è uno strumento di indagine completo noto per l'indagine forense delle e-mail attraverso la decrittazione delle e-mail.
3) MailXaminer
MailXaminer è uno strumento avanzato di indagine della posta elettronica che supporta più di 20 formati di posta elettronica e circa 750 formati MIME. Lo strumento è dotato di grandi funzionalità come:
- Ricerca avanzata per parole chiave
- Analisi dei collegamenti delle e-mail
- Analisi del tono della pelle
- Analisi delle cassette postali di Live Exchange e molto altro.
Lo strumento ritaglia le prove nel modo più efficace e genera un report completo delle prove.
Conclusione
Le tecniche e gli strumenti giusti, se utilizzati nell'indagine forense delle e-mail, creano potenziali prove in un brevissimo lasso di tempo. Pertanto, per eseguire un'indagine avanzata sulla posta elettronica è necessario utilizzare lo strumento giusto.
Vicky
Post informativo, immagino di non essere un po' a conoscenza di questo argomento e devo dire che ho imparato alcune ottime informazioni da questo post.
Grazie per la condivisione.
Niraj
Ottimo articolo. È sempre utile saperne di più sulla gestione dei reati relativi alla posta elettronica.
Grazie!
Niraj
Mansoorvalli
Questo è molto informativo. Grazie per la condivisione.
In profondità
Nel caso in cui il mittente invii un'e-mail di phishing alla vittima e al mittente, utilizzare la VPN e inviare un'e-mail al sito Web di terze parti per inviare al mittente autorizzato la modalità di esecuzione dell'indagine.