Криминалистическая экспертиза электронных писем подразумевает глубокое изучение источника и содержания электронных писем. Исследование включает в себя идентификацию фактического отправителя и получателя соответствующих электронных писем, метку времени передачи электронной почты, намерение отправки почты, запись полной транзакции электронной почты. Расследование электронной почты оказывается полезным в таких случаях, как злоупотребление электронной почтой, фишинг электронной почты, мошенничество с использованием электронной почты и другие подобные случаи, когда использование электронной почты порочится. Части расследования электронной почты включают поиск по ключевым словам, исследование метаданных, сканирование порта и т. Д.
Методы расследования электронной почты
Ниже приведены различные методы, которые используются для эффективного и беспрепятственного расследования электронной почты:
1) Анализ заголовка электронного письма
Анализ заголовка выполняется для извлечения информации об отправителе письма, а также пути, по которому оно было передано. Обычно метаданные писем хранятся в заголовках. Иногда эти заголовки могут быть изменены, чтобы скрыть истинную личность отправителя.
2) Тактика наживки
Это процесс отслеживания IP-адреса отправителя конкретного расследуемого письма. В этом методе письмо, содержащее тег http: «$ lt; img src>», отправляется на почтовый адрес, с которого было получено письмо. Получатель в этом случае является виновником. Когда письмо открывается, журнал, содержащий IP-адрес получателя, захватывается почтовым сервером, на котором размещено изображение, и отслеживается получатель. Если получатель использует прокси-сервер, адрес прокси-сервера записывается.
3) Извлечение с сервера
Исследование сервера полезно, когда электронные письма, находящиеся на стороне отправителя и получателя, были окончательно удалены. Поскольку серверы ведут журнал отправленных и полученных писем, в ходе исследования журнала будут сгенерированы все удаленные письма. Кроме того, журналы могут содержать информацию об источнике, из которого были созданы электронные письма. Исследование сервера не означает, что все очищенные электронные письма могут быть извлечены. Это связано с тем, что по истечении определенного периода хранения электронные письма безвозвратно удаляются с сервера.
4) Исследование сетевых источников
Это расследование выбирается, когда журналы сервера не могут генерировать требуемую информацию. Кроме того, если интернет-провайдеры не предоставляют доступ к серверу, выбирается исследование сетевых источников. Журналы, создаваемые сетевыми концентраторами, маршрутизаторами, межсетевыми экранами и т. Д., Содержат информацию о происхождении сообщения электронной почты.
Популярные инструменты, используемые для расследования электронной почты
Доступен ряд инструментов расследования электронной почты, которые помогают в полном процессе расследования. Эти инструменты генерируют автоматические отчеты о расследовании, определяют источник и адресат электронной почты и многое другое. Некоторые из инструментов, которые являются частью этого домена:
1) Корпус
EnCase позволяет следователям создать изображение диска и сохранить его в формате E01, который может быть исследован судебно, а также может быть представлен в суде в качестве доказательства.
2) ФТК
Криминалистический инструментарий представляет собой комплексный инструмент расследования, известный для судебной экспертизы электронных писем путем их дешифрования.
3) Майлксаминер
MailXaminer - это продвинутый инструмент расследования электронной почты, который поддерживает более 20 форматов электронной почты и около 750 форматов MIME. Инструмент оснащен такими замечательными функциями, как:
- Расширенный поиск по ключевым словам
- Ссылочный анализ писем
- Анализ тона кожи
- Анализ почтового ящика Live Exchange и многое другое.
Инструмент извлекает доказательства наиболее эффективным способом и генерирует полный отчет о доказательствах.
Заключение
Правильные методы и инструменты, если они используются в судебно-медицинской экспертизе электронных писем, позволяют выявить потенциальные улики за очень короткий промежуток времени. Поэтому для проведения расширенного расследования электронной почты необходимо развертывание правильного инструмента.
Vicky
Информативный пост, я думаю, что я немного не осведомлен об этом, и должен сказать, что узнал много полезной информации из этого поста.
Спасибо, что поделились.
Niraj
Отличная статья. Всегда полезно узнать больше о том, как бороться с правонарушениями, связанными с электронной почтой.
Благодаря!
Niraj
Мансурвалли
Это очень информативно. Спасибо за то, что поделился.
Deep
В случае, если отправитель отправляет фишинговое письмо жертве, а отправитель использует VPN и отправляет письмо на сторонний веб-сайт для отправки уполномоченному отправителю, как проводится расследование.