# Information Gathering

## Spoofing

Vì email không nhất thiết phải có cơ chế xác thực nên kẻ tấn công có thể gửi email dưới tên của người khác. Những kẻ tấn công có thể thực hiện điều này bằng cách sử dụng một kỹ thuật gọi là Spoofing để khiến người dùng tin rằng email đến là đáng tin cậy.&#x20;

Một số giao thức đã được tạo ra để ngăn chặn kỹ thuật giả mạo email. Các giao thức **SPF**, **DKIM** và **DMARC** có thể được sử dụng để xác định xem địa chỉ của người gửi là giả hay thật.&#x20;

Một số chương trình email sẽ tự động kiểm tra email. Tuy nhiên, việc sử dụng các giao thức này là không bắt buộc và có thể gây ra vấn đề trong một số trường hợp.

* Sender Policy Framework (SPF)
* DomainKeys Identified Mail (DKIM)

Để xác định thủ công xem thư có bị giả mạo hay không, trước tiên phải xác định SMTP address của thư. Có thể lấy các bản ghi SPF, DKIM, DMARC và MX của miền bằng các công cụ như **Mxtoolbox**. Việc so sánh thông tin này sẽ cho bạn biết email có bị giả mạo hay không.

<figure><img src="/files/EJ5fY09natVXouVzYWGV" alt=""><figcaption></figcaption></figure>

Vì các tổ chức lớn sử dụng máy chủ thư của riêng họ sẽ có địa chỉ IP riêng nên bạn có thể kiểm tra xem địa chỉ SMTP có thuộc về tổ chức đó hay không bằng cách xem bản ghi Whois của địa chỉ IP SMTP.&#x20;

Cũng cần lưu ý rằng ngay cả khi địa chỉ người gửi không bị giả mạo, chúng tôi cũng không thể nói rằng email đó an toàn. Các email có hại có thể được gửi dưới danh nghĩa của những cá nhân đáng tin cậy bằng cách hack các địa chỉ email công ty/cá nhân.&#x20;

Những cuộc tấn công mạng như vậy đã từng xảy ra trong quá khứ, vì vậy cần phải xem xét khả năng xảy ra.

## E-mail Traffic Analysis

Cần có nhiều thông số để phân tích một cuộc tấn công lừa đảo. Các tham số sau đây có thể cho chúng ta ý tưởng về quy mô của cuộc tấn công và đối tượng mục tiêu nếu chúng tôi thực hiện tìm kiếm trên cổng thư.

* Sender Address(<info@letsdefend.io>)&#x20;
* SMTP IP Address(127.0.0.1)
* @letsdefend.io (domain base)
* letsdefend (In addition to the Gmail account, the attacker may have sent from the Hotmail account)
* Subject (sender address and SMTP address may be constantly changing)

Ngoài số email, cần biết địa chỉ, thông tin thời gian của người nhận trong kết quả tìm kiếm. Nếu các email độc hại liên tục được chuyển tiếp đến cùng một người dùng, địa chỉ email của họ có thể đã bị rò rỉ và chia sẻ trên các trang web như **PasteBin** bằng cách nào đó.

Kẻ tấn công có thể tìm thấy địa chỉ email bằng công cụ **Harvester** trên Kali Linux. Việc đăng địa chỉ email cá nhân lên các trang web có thể mang lại nguy cơ tấn công tiềm tàng cho những kẻ tấn công, vì vậy, thông tin đó không được chia sẻ một cách rõ ràng.

{% hint style="info" %}
Nếu email được gửi ngoài giờ hành chính, kẻ tấn công có thể ở múi giờ khác. Bằng cách thu thập loại thông tin này, bạn có thể bắt đầu tìm ra bản chất của cuộc tấn công.
{% endhint %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/techniques/phishing-email-analysis/information-gathering.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.