Dlaczego nagłówki e-mail są trudniejsze niż sama treść wiadomości
W sprawach phishingu najczęściej tłumaczy się treść wiadomości: prośbę o kliknięcie linku, fałszywe wezwanie do zapłaty, informację o rzekomej blokadzie konta albo komunikat podszywający się pod bank, urząd lub firmę kurierską. Jednak z punktu widzenia materiału dowodowego istotna może być nie tylko widoczna treść e-maila, lecz także techniczna warstwa wiadomości.
Nagłówki e-mail zawierają dane o trasie wiadomości, identyfikatorach, serwerach, mechanizmach uwierzytelniania i adresach użytych w komunikacji. Dla osoby bez przygotowania technicznego wyglądają jak ciąg skrótów, adresów IP, domen, znaczników czasu i identyfikatorów. Tłumacz nie powinien ich upraszczać ani usuwać, ponieważ mogą stanowić część dowodu cyfrowego.
Problem polega na tym, że część pól nagłówka nie wymaga klasycznego tłumaczenia, lecz zachowania w oryginale z ewentualnym opisem funkcji. Inne elementy, takie jak komentarze systemowe lub komunikaty serwerów, mogą wymagać przekładu. Granica między tłumaczeniem, transkrypcją i objaśnieniem technicznym musi być zachowana bardzo ostrożnie.
From, Reply-To i Return-Path — pozornie podobne pola, różne znaczenie
Jednym z częstych błędów przy tłumaczeniu materiałów phishingowych jest traktowanie wszystkich adresów e-mail jako równoważnych. Pole From może wskazywać nazwę nadawcy widoczną dla odbiorcy, Reply-To może określać adres, na który mają trafiać odpowiedzi, a Return-Path może odnosić się do technicznej ścieżki zwrotnej wiadomości.
W praktyce oszustwa internetowego te pola bywają rozbieżne. Wiadomość może wyglądać tak, jakby pochodziła od banku, ale odpowiedzi kierowane są na zupełnie inny adres. W tłumaczeniu przysięgłym należy zachować tę rozbieżność, ponieważ może ona mieć znaczenie dla oceny mechanizmu podszycia się pod instytucję.
Nie należy automatycznie tłumaczyć nazw pól nagłówka jako zwykłych zdań. Bezpieczniejszą praktyką jest pozostawienie nazw technicznych, a obok — jeśli kontekst tego wymaga — wskazanie ich funkcji w języku polskim. Dzięki temu tłumaczenie nie zaciera struktury technicznej dokumentu.
Received, Message-ID, SPF, DKIM i DMARC w tłumaczeniu
Pola Received mogą pokazywać kolejne etapy przejścia wiadomości przez serwery. Message-ID identyfikuje wiadomość, a SPF, DKIM i DMARC odnoszą się do mechanizmów weryfikacji nadawcy i domeny. Dla tłumacza są to elementy szczególnie wrażliwe, ponieważ drobna zmiana znaku, spacji, domeny lub identyfikatora może zmienić wartość dowodową materiału.
Tłumacz nie powinien rekonstruować ani poprawiać technicznych danych. Jeżeli w nagłówku występuje nieczytelny fragment, błąd kodowania, skrót lub zapis wielowierszowy, należy zachować go w formie możliwie najbliższej oryginałowi. W razie potrzeby można użyć neutralnej adnotacji tłumacza, ale nie wolno dopowiadać znaczenia, którego nie ma w materiale.
W tłumaczeniu sądowym i procesowym zasadą powinno być rozróżnienie między treścią językową a identyfikatorem technicznym. Identyfikator nie jest zdaniem, które trzeba stylistycznie wygładzić. Jest elementem danych, który powinien pozostać stabilny.
Kiedy tłumacz powinien odmówić interpretacji technicznej
Tłumacz może przełożyć komunikaty, opisy i widoczne fragmenty językowe. Nie powinien jednak samodzielnie rozstrzygać, czy dany nagłówek dowodzi spoofingu, czy konkretna konfiguracja DMARC była prawidłowa, ani czy adres IP wskazuje na określoną osobę. To są kwestie analizy technicznej, które mogą wymagać opinii biegłego.
W praktyce najbezpieczniejszy model pracy polega na wiernym przekładzie elementów językowych, zachowaniu danych technicznych i jasnym oddzieleniu tłumaczenia od interpretacji specjalistycznej. Tłumacz nie powinien zastępować biegłego informatyka śledczego.
Takie rozgraniczenie chroni rzetelność postępowania. Strona otrzymuje tłumaczenie, które pozwala rozumieć materiał, ale nie otrzymuje w nim ukrytej opinii technicznej.
Znaczenie dla spraw karnych i cywilnych
Nagłówki e-mail mogą pojawiać się w zawiadomieniach o przestępstwie, aktach spraw o oszustwo internetowe, sporach bankowych, sprawach gospodarczych oraz w dokumentacji incydentów cyberbezpieczeństwa. Ich tłumaczenie wymaga precyzji większej niż zwykła korespondencja.
Dobrze przygotowane tłumaczenie powinno zachować strukturę danych, kolejność pól, identyfikatory, daty, strefy czasowe, domeny i adresy IP. Dopiero wtedy odbiorca procesowy może porównać przekład z oryginałem i ocenić, które elementy są językowe, a które techniczne.
To niszowy, ale coraz ważniejszy obszar pracy tłumacza przysięgłego. Wraz ze wzrostem liczby spraw phishingowych rośnie znaczenie przekładów, które nie redukują dowodu cyfrowego do samej treści widocznej na ekranie.
Zakres zagadnienia
- phishing
- nagłówki e-mail
- dowody cyfrowe
- tłumaczenie przysięgłe
- spoofing
- cyberprzestępczość
- postępowanie karne
- tłumacz przysięgły