Ένα email μπορεί να φαίνεται απλό. Μπορεί όμως να κρύβει πίσω του μια ολόκληρη τεχνική διαδρομή που βοηθά να φανεί αν είναι αυθεντικό, παραπλανητικό ή μέρος μιας απάτης.
Όλοι χρησιμοποιούμε email καθημερινά. Για δουλειά, για προσωπική επικοινωνία, για τράπεζες, για υπηρεσίες, για αποστολή εγγράφων. Τι γίνεται όμως όταν ένα email εμπλέκεται σε μια σοβαρή υπόθεση; Τι γίνεται όταν κάποιος λέει «δεν το έστειλα εγώ» ή όταν ένα μήνυμα φαίνεται να προέρχεται από ένα γνωστό πρόσωπο, μια κυβερνητική υπηρεσία, μια εταιρεία παροχής διαδικτυακών και τηλεπικοινωνιακών υπηρεσιών ή έναν τραπεζικό οργανισμό, αλλά κάτι δεν μοιάζει σωστό; Εκεί τα πράγματα αλλάζουν. Δεν αρκεί να δούμε μόνο το όνομα του αποστολέα ή το κείμενο του μηνύματος. Στη δικανική ανάλυση email, το πιο σημαντικό ερώτημα είναι διαφορετικό: «Από πού πέρασε πραγματικά αυτό το email πριν φτάσει στον παραλήπτη; ».
Ψηφιακά ίχνη
Κάθε email αφήνει πίσω του κάποια ψηφιακά ίχνη. Αυτά τα ίχνη δεν φαίνονται συνήθως στον απλό χρήστη. Βρίσκονται στα λεγόμενα email headers, δηλαδή στα τεχνικά στοιχεία που συνοδεύουν το μήνυμα. Για τον περισσότερο κόσμο μοιάζουν με περίεργες γραμμές και κώδικα. Για έναν ψηφιακό πραγματογνώμονα όμως, μπορεί να είναι το σημείο από όπου ξεκινά η αποκάλυψη της αλήθειας.
1. Αυτό που φαίνεται δεν είναι πάντα αυτό που ισχύει: Όταν λαμβάνουμε ένα email, το πρώτο πράγμα που βλέπουμε είναι το όνομα ή η διεύθυνση του αποστολέα. Αυτό είναι το πεδίο From. Πολλοί πιστεύουν ότι αν στο From φαίνεται ένα συγκεκριμένο όνομα, τότε αυτό αποδεικνύει και ποιος έστειλε το email. Δεν είναι πάντα έτσι. Το From δείχνει τι βλέπει ο χρήστης. Δεν αποδεικνύει από μόνο του ποιος βρίσκεται πίσω από την αποστολή. Σε ορισμένες περιπτώσεις, μπορεί να χρησιμοποιηθεί παραπλανητικά ώστε ένα email να φαίνεται ότι προέρχεται από τράπεζα, δημόσια υπηρεσία ή ακόμη και από συγκεκριμένο φυσικό πρόσωπο. Για αυτόν τον λόγο, στην ψηφιακή δικανική ανάλυση δεν μένουμε στην εικόνα. Κοιτάζουμε πιο βαθιά.
Διαδρομή
Μέσα στα email headers υπάρχουν στοιχεία που μπορούν να δείξουν τη διαδρομή του μηνύματος. Για παράδειγμα, μπορεί να φανεί από ποιους mail servers πέρασε, πότε παραδόθηκε, αν πέρασε βασικούς ελέγχους γνησιότητας και αν υπάρχουν ενδείξεις ότι κάτι δεν ταιριάζει. Ένα από τα πιο σημαντικά σημεία είναι το Received Chain. Με απλά λόγια, είναι σαν μια λίστα διαδρομής. Κάθε φορά που το email περνά από έναν σταθμό μέχρι να φτάσει στον παραλήπτη, προστίθεται ένα νέο τεχνικό ίχνος. Έτσι μπορούμε να δούμε τη διαδρομή που ακολούθησε. Η αλυσίδα αυτή διαβάζεται από κάτω προς τα πάνω. Το κάτω μέρος δείχνει συνήθως τα πρώτα βήματα της αποστολής και το πάνω μέρος τα τελευταία βήματα πριν το email φτάσει στον παραλήπτη. Το From δείχνει τι φαίνεται. Τα headers δείχνουν τι έγινε τεχνικά.
2. Πώς βρίσκουμε τα email headers σε Gmail, iCloud, Microsoft Mail κ.λπ.: Οι βασικοί πάροχοι δίνουν δυνατότητα προβολής των email headers μέσα από το ίδιο το μήνυμα. Τα βήματα διαφέρουν ανά υπηρεσία: Στο Gmail, ανοίγουμε το email, πατάμε τις τρεις τελείες δίπλα από την απάντηση και επιλέγουμε Show original ή Εμφάνιση πρωτοτύπου. Στο iCloud Mail, είναι καλύτερα να χρησιμοποιηθεί η web έκδοση στο icloud.com/mail. Ανοίγουμε το email, πατάμε More και επιλέγουμε Show All Headers. Στο Microsoft Mail / Outlook ή Microsoft 365, ανοίγουμε το μήνυμα, πατάμε τις τρεις τελείες ή More actions και επιλέγουμε View > View message details. Στο Proton Mail, ανοίγουμε το email, πατάμε τις τρεις τελείες, επιλέγουμε More options και μετά View Headers.
3. Όταν κάποιος κάνει το email να φαίνεται ότι το έστειλε άλλος: Υπάρχει μια πολύ συνηθισμένη τεχνική παραπλάνησης που λέγεται email spoofing. Με απλά λόγια, κάποιος προσπαθεί να κάνει ένα email να φαίνεται ότι προέρχεται από άλλη διεύθυνση ή άλλο πρόσωπο. Για παράδειγμα, μπορεί να λάβετε ένα email που φαίνεται να είναι από τράπεζα, δικηγόρο, γνωστή εταιρεία ή ακόμη και από έναν συνεργάτη. Το όνομα μπορεί να φαίνεται σωστό. Η διεύθυνση μπορεί να μοιάζει πειστική. Το μήνυμα μπορεί να είναι επείγον και να σας πιέζει να κάνετε κάτι γρήγορα. Αυτό είναι το επικίνδυνο σημείο. Ο παραλήπτης βλέπει κάτι γνώριμο και εμπιστεύεται το μήνυμα. Όμως ένα spoofed email μπορεί να ξεγελά το μάτι, αλλά δεν εξαφανίζει πάντα τα ίχνη του. Η τεχνική διαδρομή του μπορεί να δείχνει κάτι διαφορετικό από αυτό που φαίνεται στην οθόνη.
Spoofing
Για παράδειγμα, το email μπορεί να φαίνεται ότι έρχεται από ένα γνωστό domain, αλλά τα τεχνικά στοιχεία να δείχνουν ότι πέρασε από άσχετη ή ύποπτη υποδομή. Μπορεί η απάντηση να οδηγεί σε άλλη διεύθυνση. Μπορεί οι έλεγχοι γνησιότητας να αποτυγχάνουν. Μπορεί η διαδρομή του email να μην ταιριάζει με αυτό που ισχυρίζεται ότι είναι. Άρα, όταν λέμε ότι ένα email είναι spoofed, δεν σημαίνει ότι η έρευνα τελείωσε. Σημαίνει ότι πρέπει να γίνει πιο προσεκτική. Το spoofing μπορεί να αλλάξει την εικόνα που βλέπει ο παραλήπτης. Δεν μπορεί όμως πάντα να σβήσει την τεχνική διαδρομή που άφησε το email.
4. VPN, δημόσια Wi-Fi και δημόσιες IP: κρύβουν, αλλά δεν εξαφανίζουν πάντα: Πολλοί πιστεύουν ότι αν χρησιμοποιήσουν VPN ή δημόσιο Wi-Fi, τότε δεν μπορούν να εντοπιστούν. Η πραγματικότητα είναι πιο σύνθετη. Ένα VPN μπορεί να κρύψει την πραγματική IP από τον πάροχο email. Δηλαδή ο πάροχος μπορεί να βλέπει την IP του VPN και όχι τη σύνδεση του χρήστη. Αυτό όμως δεν σημαίνει ότι δεν υπάρχουν άλλα ίχνη. Μπορεί να υπάρχουν στοιχεία στον πάροχο VPN, όπως email εγγραφής, τρόπος πληρωμής, ώρες σύνδεσης ή άλλα τεχνικά δεδομένα, ανάλογα με την πολιτική και τη νομοθεσία που ισχύει. Το ίδιο ισχύει και για δημόσια Wi-Fi σε καφέ, ξενοδοχεία, αεροδρόμια ή πανεπιστήμια. Μια δημόσια IP μπορεί να δείχνει έναν χώρο και όχι απευθείας έναν άνθρωπο. Όμως αυτό μπορεί να οδηγήσει την έρευνα στο επόμενο βήμα.
Παζλ
Αν για παράδειγμα το επίμαχο email στάλθηκε από το Wi-Fi ενός ξενοδοχείου, η IP μπορεί να δείξει το ξενοδοχείο και την ώρα. Από εκεί μπορούν να εξεταστούν άλλα στοιχεία: ποιοι ήταν συνδεδεμένοι, ποια δωμάτια είχαν πρόσβαση, αν υπήρχαν στοιχεία εισόδου στο Wi-Fi, κρατήσεις, πληρωμές ή κάμερες ασφαλείας. Στη δικανική ανάλυση, σπάνια ένα μόνο στοιχείο δίνει όλη την απάντηση. Συνήθως υπάρχει ένα παζλ. Μια IP, μια ώρα σύνδεσης, ένα τηλέφωνο ανάκτησης, μια πληρωμή, ένα Wi-Fi log ή ένα μοτίβο χρήσης μπορεί να φαίνονται μικρά από μόνα τους. Όταν όμως ενωθούν, μπορούν να οδηγήσουν σε πολύ πιο καθαρή εικόνα.
5. Πώς οι αρχές μπορούν να φτάσουν στο φυσικό πρόσωπο: Τα email headers είναι συχνά το πρώτο βήμα. Μπορούν να δείξουν τη διαδρομή του email και να δώσουν σημαντικές ενδείξεις. Σε σοβαρές υποθέσεις, όμως, οι αρχές μπορούν να προχωρήσουν πιο πέρα. Μέσα από τις κατάλληλες νομικές διαδικασίες, μπορούν να ζητήσουν στοιχεία από παρόχους όπως Google/Gmail, Apple/iCloud, Microsoft/Outlook, Proton Mail ή άλλες υπηρεσίες. Τα στοιχεία αυτά μπορεί να αφορούν τη δημιουργία του λογαριασμού, τηλέφωνα ανάκτησης, εναλλακτικά emails, ημερομηνίες εγγραφής, χώρες σύνδεσης, IP διευθύνσεις κατά τα logins και στοιχεία που συνδέονται με την αποστολή ενός συγκεκριμένου email. Αν βρεθεί μια δημόσια IP, οι αρχές μπορούν να απευθυνθούν στον πάροχο διαδικτύου για να διαπιστώσουν σε ποιον συνδρομητή είχε δοθεί τη συγκεκριμένη ημερομηνία και ώρα. Γι’ αυτό η ακρίβεια της ώρας είναι πολύ σημαντική. Λίγα λεπτά διαφορά μπορεί να αλλάξουν τα δεδομένα, ειδικά όταν οι IP διευθύνσεις αλλάζουν ή χρησιμοποιούνται από πολλούς χρήστες.
Αόρατα και ορατά
Επίσης, το ότι δεν υπάρχει X-Originating-IP μέσα στα headers δεν σημαίνει ότι δεν μπορεί να γίνει διερεύνηση. Σημαίνει απλώς ότι αυτό το στοιχείο δεν είναι ορατό στον παραλήπτη. Οι αρχές, μέσω νόμιμων διαδικασιών, μπορούν να ζητήσουν περισσότερα στοιχεία από τους παρόχους. Ο ρόλος του ψηφιακού πραγματογνώμονα είναι να εξηγήσει τι δείχνουν τα διαθέσιμα στοιχεία, τι δεν δείχνουν, ποιες ενδείξεις υπάρχουν και τι χρειάζεται για πιο ασφαλές συμπέρασμα.
6. Τι πρέπει να κάνει κάποιος όταν λάβει ύποπτο email: Όταν κάποιος λάβει ένα ύποπτο, απειλητικό ή οικονομικά επικίνδυνο email, το πρώτο πράγμα που πρέπει να κάνει είναι να μην βιαστεί. Δεν πρέπει να πατήσει συνδέσμους, να ανοίξει συνημμένα αρχεία, να απαντήσει άμεσα ή να διαγράψει το μήνυμα. Ένα ύποπτο email πρέπει να διατηρηθεί στην αρχική του μορφή μέχρι να ζητηθεί τεχνική και, όπου χρειάζεται, νομική αξιολόγηση. Ένα screenshot μπορεί να βοηθήσει ως πρώτη εικόνα, αλλά δεν είναι αρκετό για σοβαρή διερεύνηση. Το αρχικό email, μαζί με τα headers και τα metadata του, έχει πολύ μεγαλύτερη αξία. Ιδανικά, όπου είναι δυνατόν, πρέπει να εξαχθεί ως αρχείο .eml ή .msg, ώστε να διατηρηθούν όσο το δυνατόν περισσότερα τεχνικά στοιχεία.
Αξιολόγηση
Σε υποθέσεις όπου το email μπορεί να χρησιμοποιηθεί ως τεκμήριο, είναι σημαντικό να μπορεί να εξηγηθεί πώς συλλέχθηκε, από ποιο mailbox, πότε συλλέχθηκε και αν παρέμεινε αναλλοίωτο. Αυτή η διαδικασία βοηθά ώστε το email να αξιολογηθεί σωστά σε τεχνικό ή νομικό επίπεδο. Μην το διαγράψετε, μην το αλλοιώσετε και μην το προωθήσετε απρόσεκτα. Κρατήστε το αρχικό email αναλλοίωτο μέχρι να ζητηθεί τεχνική και νομική αξιολόγηση.
Επίλογος
Η σωστή ερώτηση δεν είναι μόνο: «Τι γράφει το email; ». Η πραγματική ερώτηση είναι: «Από πού πέρασε αυτό το email και ποια ίχνη άφησε πίσω του; ». Αυτά τα ίχνη, όταν διατηρηθούν και αναλυθούν σωστά, μπορούν να πουν την ιστορία που δεν φαίνεται στην οθόνη.
*Ο Αλέξης Μαύρος είναι MSc Digital Investigations & Forensic Computing | CFCE Certified
ISS Ltd – Ψηφιακή Δικανική Ανάλυση
