Domanda:
Esiste un modo definitivo per sapere se un'e-mail è un tentativo di phishing?
daikin
2017-09-19 21:52:11 UTC
view on stackexchange narkive permalink

Esiste un modo definitivo per stabilire se un'email è un tentativo di phishing? Quali segnali dovrebbe utilizzare l'utente del "computer medio" per rilevare un'e-mail di phishing?

Nel dubbio chiedi al mittente fuori banda.Questa è una soluzione definitiva ma non molto scalabile.
@eckes: L'ho provato raramente, ma avendo a che fare con aziende i cui rappresentanti spesso non hanno idea di cosa stia succedendo in un altro reparto, sono molto meno ottimista sul fatto che sia una soluzione definitiva.In realtà, mi sono appena ricordato di un caso in cui una banca molto nota non ha potuto verificare un numero di telefono sulla sua lettera, nonostante si rivelasse legittimo.Vai a capire.
È vero, non funzionerà per servizi Internet gratuiti ad alto volume e di basso valore.Ma poi di nuovo non invieranno messaggi che richiedono un clic (si spera).
La lista di controllo qui sotto mi sembra abbastanza buona, non esiste un modo affidabile per rilevarli tutti.Alcune aziende ti spiegano come dimostrano l'autenticità (incluso il numero di conto o il titolo), ma questo è un meccanismo debole.Protezione numero uno, non inserire mai la password su una pagina che non hai aperto tu stesso dai segnalibri o dalla copia locale dell'URL.Alcuni gestori di password aiutano in questo in quanto non si incollano in domini diversi.
Se ci fosse un "modo definitivo", gli operatori di posta lo incorporerebbero nei loro filtri antispam.
Il modo definitivo?Fare clic sul collegamento, fornire i propri dati personali e attendere.Se succede qualcosa di strano (il tuo conto in banca si esaurisce, i tuoi dati personali vengono utilizzati senza il tuo consenso, vieni arrestato per aver inviato messaggi che non hai mai inviato, ti sei reso conto all'improvviso di essere iscritto a un servizio che non hai mai richiesto) allora sì, era phishing
@eckes: ma se si tratta di un tentativo di phishing, il mittente (che è un truffatore) non mentirà?;-)
FWIW, penso che la risposta "reale" al problema X-Y sia: non intraprendere alcuna azione che dipenda per la sua correttezza dal fatto che l'email che hai appena ricevuto sia o meno un tentativo di phishing.In questo modo non devi essere in grado di capire la differenza.Ad esempio, anche se l'e-mail che hai appena ricevuto proviene realmente dalla tua banca, * ancora * non fare clic sui link al suo interno e quindi digita i tuoi dati di accesso.Invece vai al sito della tua banca, accedi e poi trova un modo per navigare dove l'email ti ha detto di andare, oppure come ultima risorsa usa il link nell'email ma * non * accedi di nuovo alla sua destinazione.
... sfortunatamente questo non è pratico per * tutte * le email, anche se copre il solito phishing finanziario / commerciale.Se ricevi un'e-mail dal tuo capo che dice "qual è il prezzo finale che citeremo nel campo di Jenkins?", Non è davvero pratico * mai * rispondere a quell'e-mail senza controllare che l'indirizzo e-mail che staiinviare la tua risposta a è davvero quella del tuo capo, e non il tuo subdolo concorrente che ha (ad esempio) inserito un errore di battitura vicino al nome di dominio della tua azienda per creare un'approssimazione dell'indirizzo email del tuo capo.Quindi un ottimo spear-phishing può farti ottenere.
@SteveJessop: Questo è fondamentalmente quello che dice la mia risposta.:-) Ma il tuo testo nei commenti è più dettagliato / sfumato e dovrebbe davvero essere una risposta stessa (una mia forma migliore), IMO.
@SteveJessop deve bene che i phishing non rispondano, ma non è una garanzia.tuttavia "fuori banda" significa chiedere senza utilizzare la funzione di risposta o comporre un numero di telefono indicato o fare clic su un collegamento del modulo di contatto nella posta sospetta
E proprio perché non è stato menzionato prima, pochissime comunicazioni aziendali utilizzano PGP o S / Mime, il che è un peccato.
Cerchi un sistema senza falsi positivi o senza falsi negativi?
Usa il principio della lista bianca: fidati solo dei mittenti che sai essere veri.Quando un nuovo mittente ti si avvicina, verificalo utilizzando altri canali.Stai sempre in guardia quando qualcuno ti si avvicina richiedendo i tuoi dati personali, i numeri di carta di credito, il nome dell'account e / o la password.Nessuno dovrebbe chiederli in un'e-mail (anche se i tuoi parenti o simili potrebbero ancora chiedere il tuo numero di telefono attuale, ad esempio).In effetti, se dovessi ridisegnare il sistema di posta elettronica, probabilmente aggiungerei una fase di accettazione prima che l'email possa essere effettivamente inviata al destinatario.
@eckes: Stavo solo scherzando sul fatto che, sebbene tu abbia detto di chiedere "al mittente", la persona a cui chiedere è il * presunto * mittente, non il mittente effettivo.
@SteveJessop Se questo è il tuo subdolo concorrente, inoltralo al tuo capo.
Il problema con qualsiasi metodo definitivo per rilevare il phishing è che qualsiasi email che viene definitivamente identificata come NON essere un tentativo di phishing può effettivamente essere un preludio a un tentativo di phishing.
Dodici risposte:
#1
+95
DKNUCKLES
2017-09-19 22:05:16 UTC
view on stackexchange narkive permalink

Esistono diversi modi sia tecnici che non tecnici con cui qualcuno può identificare un tentativo di phishing.

  • Comunicare fuori banda. Il più semplice modo affidabile è comunicare con il mittente proposto fuori banda. Chiamali, invia loro un'app che cosa è se applicabile, segnale, qualunque cosa. Se un'organizzazione o un individuo non ti ha inviato un'e-mail, possono dirtelo al telefono. Ricorda solo di utilizzare un numero di telefono non incluso nell'email.

  • Correzione di bozze : gran parte dello spam, anche molto spear phishing, è scritto molto male. Le frasi mal costruite e gli errori di ortografia sono indicatori abbastanza buoni di spam.

  • Passaggio del mouse sui link : i link di phishing sono generalmente "offuscati" per sembrare collegamento a una pagina di accesso. Ad esempio, il testo potrebbe essere https://login.facebook.com, ma quando passi il mouse sul link noti che è un nome di dominio lungo e dettagliato. Phishing rivelatore.

    EDIT: Come hanno sottolineato Mehrdad e Bacon Brad, questo metodo può fornire risultati contrastanti. I collegamenti possono essere utilizzati in una varietà di attacchi come gli attacchi CSRF / XSS e il collegamento fornito può anche portare a una terza parte autorizzata.

  • Intestazioni e-mail - Forse uno dei modi più tecnologici per capire se un'e-mail è legittima o meno è guardare le intestazioni delle e-mail. Le e-mail contengono metadati che indicano da dove provengono le e-mail. Di solito puoi capire guardando l'intestazione dell'e-mail se un'e-mail proviene da una fonte autenticata con queste intestazioni. Tieni presente che questo non è infallibile in quanto molte organizzazioni potrebbero esternalizzare le campagne di posta, ma le email provenienti da un indirizzo IP privato potrebbero indicare un'email di phishing.

  • Macro : la parola documento che ti è stato appena inviato indica che devi abilitare le macro per visualizzare il documento? Non farlo.

  • Ingegneria sociale : molte tattiche di posta elettronica di phishing giocheranno le emozioni umane e impiegheranno molte note tecniche di ingegneria sociale. Dichiarazioni come "Devi fare clic su questo link e riattivare il tuo conto bancario entro 24 ore o il tuo account verrà chiuso" hanno lo scopo di far prendere dal panico il destinatario. Quando siamo presi dal panico prendiamo decisioni illogiche. Se ritieni che un'email stia giocando sulle tue emozioni, potresti essere oggetto di phishing.

  • È un comportamento normale? - Le istituzioni sono esperte nei metodi di phishing e in quanto tali non ti chiederanno di fare clic sui collegamenti incorporati in un'e-mail per "reimpostare la password" o "confermare il tuo account". Se il tuo senso di spide è formicolio, probabilmente phishing.

Nella mia esperienza non esiste un proiettile d'argento nella gestione del phishing. Durante i test di penetrazione lo spear phishing funziona sempre . Le informazioni di cui sopra ti aiuteranno a individuare i tentativi di phishing, ma il modo più semplice ed efficiente per confermare o negare un tentativo di phishing è chiamare il "mittente" per confermare se è legittimo.

grazie Dknuckles - questa è una lista di controllo completa!Esiste uno strumento di terze parti per controllare le intestazioni delle e-mail?
@daikin Non dovrebbe essere necessario un programma di terze parti per esaminare le intestazioni delle e-mail.Ad esempio, nella versione di MS Outlook che usiamo nel mio ufficio, posso andare su File> Proprietà per una data email (fare doppio clic sull'email per aprirla nella sua finestra) e vedere le intestazioni nel pannello di dialogo chesi apre.
Passare il mouse sui collegamenti non funziona necessariamente.Spesso le aziende legittime hanno il monitoraggio dei clic, il che lo sconfigge.
Non consiglio di passare il mouse come consiglio agli utenti finali regolari e al personale dell'ufficio.Invece desidero che trattino tutti i collegamenti come potenzialmente non sicuri.Questo perché possono cadere per https://login.facebook.com.evilurl.com/ o per una vulnerabilità XSS di un URL legittimo.
+1 Ottima risposta.Si prega di incorporare le informazioni di Mehrdad e Bacon Brad nella risposta in modo più completo.
Per quanto riguarda il tuo punto "è normale": se hai appena chiesto di reimpostare la password o hai appena creato il tuo account e ti hanno detto che riceverai un'e-mail di conferma, dovresti aspettarti di ricevere un'e-mail legittima che potrebbe contenere un link che tuè necessario fare clic su per procedere.In caso contrario, è quasi certamente un tentativo di phishing.Anche se ho visto alcuni loschi "comportamenti normali" da un certo numero di società legittime, comprese le banche.
"_ma email proveniente da un indirizzo IP privato_" come lo riconosceresti?
Non è anche possibile in HTML manipolare il collegamento al passaggio del mouse visualizzato quando si passa con il mouse su un URL?
@curiousguy Ho già utilizzato i servizi IP WHOIS.Questo metodo richiede un po 'di esperienza, ma se gli indirizzi IP vengono inviati a un'azienda in Russia da un'e-mail presumibilmente inviata dall'IRS, puoi essere certo che si tratta di spam.
Per gli utenti di altri client e servizi di posta, ecco un elenco di spiegazioni su come visualizzare un'intestazione di posta elettronica per [Outlook, Outlook.com, Apple Mail, Horde, Roundcube, Yahoo, Gmail / Google Apps] (https: // kb.layershift.com/view-email-headers) ed ecco un'istruzione per [Thunderbird] (https://www.lifewire.com/view-full-message-headers-thunderbird-1173106).
In aggiunta al primo punto, le grandi aziende spesso hanno indirizzi e-mail di segnalazione di phishing (ad esempio "[email protected]"): puoi inoltrare l'email lì e chiedere loro di verificarla per te.Ricorda che dovresti trovare questo indirizzo andando sul sito web dell'azienda, NON controllando l'email che hai ricevuto!
Oggi ho ricevuto un messaggio di phishing, che è stato abbastanza intelligente perché il collegamento (clicca qui per confermare la tua password) sembrava essere legittimo, ma una "L" minuscola nell'URL era stata sostituita con una "i" maiuscola,che sono impossibili da distinguere a occhio in un messaggio di testo di iPhone.
Sebbene l'analisi dettagliata dell'intestazione richieda una certa quantità di abilità tecniche, la maggior parte dei tentativi di phishing fallisce al primo ostacolo.Se l'intestazione "Da:" contiene qualcosa come "Servizio clienti Microsoft ", puoi essere abbastanza sicuro che l'email non è autentica.(Nota che il contrario _non_ tiene: è banale inserire qualsiasi indirizzo tu voglia in quell'intestazione, quindi un indirizzo email "@microsoft.com" non garantisce che l'email provenga da lì. Ma la maggior parte dei phisher è troppo stupida per fare anche questo.)
Nota che un altro esempio di comunicazione fuori banda è attraverso i social media.La maggior parte delle aziende e alcuni dipartimenti governativi hanno una pagina di supporto o marketing su Twitter o Facebook che a volte può rispondere a domande in merito.Cose da notare: 1) trovare un account verificato se possibile;2) controlla che l'account risponda effettivamente agli utenti e non automatizzi solo i comunicati stampa;3) controlla se qualcuno ha fatto la stessa domanda di recente.
"Le istituzioni sono esperte nelle modalità di phishing e come tali non ti chiederanno di fare clic sui collegamenti incorporati in un'e-mail" - purtroppo, questo non è vero per un numero deprimente di istituzioni;Paypal, ad esempio, è terribile in questo.
@IMSoP, Ebay non è molto meglio.Ho ricevuto un messaggio "accedi per impedire che il tuo account venga disabilitato", completo di link dall'aspetto sospetto, che si è rivelato reale.E non è phishing, ma gli avvisi e-mail della mia famosa banca vengono regolarmente catturati dal mio filtro antispam, perché * sembrano * spam finanziario, completi di parole con errori di ortografia e punti esclamativi sequenziali.
@Mark Nessuna sorpresa: stessa azienda.
Potrei consigliare "www.example.com" prima che un malintenzionato afferri "www.somelongverbosedomainname.com"?
Buona risposta!Vorrei solo riformulare "Ricordati solo di usare un numero di telefono che non è incluso nell'email".in "Ricorda solo di ottenere il numero di telefono da una fonte affidabile e non dall'email" (potrebbe essere che l'email indichi il numero di telefono corretto, quindi le persone non possono sempre utilizzare un numero "non incluso nell'email"! (e non dovrebbe))
#2
+20
R.. GitHub STOP HELPING ICE
2017-09-20 01:22:29 UTC
view on stackexchange narkive permalink

Ti chiede di fare qualcosa che non dovresti fare senza autenticare l'identità della parte che ti chiede di farlo? (Tieni presente che "inserire una password" è un'azione di questo tipo!) In tal caso, puoi trattarla efficacemente come phishing indipendentemente dalle motivazioni del mittente, poiché l'email non è autenticata e quindi non è un mezzo adatto per richiesta di un'azione privilegiata.

"l'email non è autenticata" - e finora i miei sforzi per convincere il mio direttore di banca a firmare reciprocamente le chiavi PGP sono stati vani.
@SteveJessop - In tutta onestà con il tuo direttore di banca, le chiavi PGP sono principalmente per utenti esperti e hanno meno probabilità di essere phishing.
#3
+14
Steve Jessop
2017-09-21 16:59:32 UTC
view on stackexchange narkive permalink

Non esiste un modo perfetto per identificare le email di phishing, nel senso di una procedura che ti dice sempre con successo, per qualsiasi email, chi l'ha inviata e perché. In pratica, la stragrande maggioranza delle e-mail di phishing effettive è abbastanza facilmente identificabile come tale, perché sono per lo più abbastanza insulse. Alcuni di loro non arrivano nemmeno alla tua casella di posta, perché sono così palesemente falsi che persino il filtro del tuo provider di posta elettronica li ha individuati. Ma non esiste un insieme "definitivo" di funzionalità dell'email che sia possibile controllare ogni volta.

Invece di cercare di determinare se le email sono tentativi di phishing, dovresti evitare di intraprendere qualsiasi azione che si basa per la sua correttezza sul fatto che l'email che hai ricevuto sia o meno un tentativo di phishing . In questo modo non devi essere in grado di capire la differenza.

Ad esempio, anche se l'email che hai appena ricevuto proviene realmente dalla tua banca, non fare clic sui link al suo interno e quindi digita i tuoi dati di accesso. Vai invece al sito della tua banca digitando un URL che ricordi o utilizzando un segnalibro. Quindi accedi e cerca un modo per navigare dove l'email ti ha detto di andare. Come ultima risorsa, poiché il sito della tua banca è pessimo, dopo aver effettuato l'accesso potresti utilizzare il link nell'email ma non accedere di nuovo alla sua destinazione o fornire altre informazioni sensibili. Ma fai attenzione che ci sono attacchi diversi dal phishing , a cui potresti esporti semplicemente visitando una pagina dannosa e senza fornire alcuna informazione sensibile.

Funziona per i soliti tentativi di phishing di finanza / acquisti. Purtroppo ci sono casi in cui non è pratico. Supponiamo che uno spear-phisher di talento, magari lavorando per il tuo concorrente, esegua gli errori di battitura su un dominio simile al dominio del tuo datore di lavoro e invii un'e-mail che sembra provenire dal tuo capo, utilizzando il suo effettivo piè di pagina, dicendo "quale prezzo stiamo andando citare nel campo di Jenkins? ". Non è realistico che ogni volta che rispondi a un'e-mail aziendale (dozzine di volte al giorno), strizzi gli occhi con attenzione all'indirizzo a cui stai inviando, per assicurarti che sia davvero youremployer.com e non youremp1oyer.com o yourempIoyer. com o (Heaven Forfend) youremploуer.com [*]. Il tuo client di posta elettronica può o meno aiutarti, in termini di indicare visivamente se un indirizzo e-mail è già nella tua rubrica personale o nella directory aziendale.

La differenza è che il tuo datore di lavoro, per qualsiasi motivo, ha deciso che utilizzerà la posta elettronica come mezzo per comunicare informazioni riservate. La tua banca, invece, ha preso una decisione diversa. Il canale appropriato per comunicazioni sensibili verso e dalla tua banca è il loro sito web, o un'app per telefono, o forse per telefono (anche se non fidarti delle chiamate presumibilmente dalla tua banca), o per posta per determinate cose, o di persona. Quindi non fidarti delle email che provengono o sembrano provenire dalla tua banca. Non fidarti nemmeno del collegamento al sito della tua banca. Considera invece un suggerimento per usare un canale di cui ti puoi fidare.

[*] Il primo è facile: cifra 1 per minuscolo L. Il secondo è un po 'più difficile in molti caratteri: maiuscolo I per minuscolo L. Il terzo sostituisce una Y cirillica minuscola con la Y romana minuscola. Se il tuo client di posta lo rende affatto, probabilmente non sarai in grado di distinguere dall'aspetto.

Questa mi sembra la migliore politica.Risolve il problema che Paypal, ad esempio, invia e-mail legittime che sono indistinguibili dai tentativi di phishing (collegamenti che reindirizzano tramite un dominio di terze parti che quindi ti chiedono di accedere).Controllarli è solo una perdita di tempo, quindi "non fare mai clic sui link" è una politica più sicura.
La mia forma abbreviata per questo è "origina sempre, non accettare mai" per comunicazioni come questa al di fuori del lavoro.Ho intercettato un tentativo di spear phishing con questo, in cui qualcuno si è impossessato della mailing list del mio commercialista.Includo il telefono e l'email: se mi chiami, ti richiamo tramite il centralino principale del luogo in questione.
@Joe: sì, ho avuto diverse esperienze al riguardo.Una chiamata di sicurezza dalla mia carta di credito, ho chiesto loro come avrebbero verificato la loro identità, poi ho detto "riattacca e richiamaci al numero stampato sul retro della tua carta, il centralino ti riporterà da noi", che eramolto buona.Le chiamate delle banche su vendite casuali a volte lasciano perplessi sul motivo per cui mi rifiuto di rispondere alle loro domande di sicurezza, anche se almeno qui nel Regno Unito, l'industria nel suo complesso sta gradualmente imparando standard migliori.
#4
+5
Steffen Ullrich
2017-09-19 22:04:56 UTC
view on stackexchange narkive permalink

Sebbene molte e-mail di phishing siano ovvie, non esiste un modo preciso per rilevare il phishing più intelligente. E sembra che la quantità di phishing intelligente stia aumentando.

Esistono tecniche che potrebbero aiutare a scoprire se il mittente è quello che sta rivendicando, ovvero firme digitali, DMARC (che include DKIM + SPF) ecc. Ma questi devono essere impiegati sul sito del mittente e verificati sul sito del destinatario - ed entrambi mancano in molti casi o sono (inutilmente) complessi.

Se la posta afferma di provenire da un mittente che già conosci, potresti confrontare le email con quelle che hai ricevuto in precedenza per una varietà di funzionalità, come lo stesso indirizzo email del mittente, lo stesso percorso di trasporto (ricevuto intestazione nella posta), lo stesso client di posta ... Molte di queste funzionalità sono visibili solo nel codice sorgente della posta e molte di queste richiedono competenze per essere estratte e confrontate, quindi gli utenti medi non saranno in grado di farlo (a parte la mancanza di tempo e motivazione nella maggior parte dei casi).

Consiglio di dare un'occhiata a un recente discorso su questo argomento all'ultima conferenza di Blackhat: Ichthyology: Phishing as a Science.

Steffen, DKIM va sempre mano nella mano con SPF?DMARC è percepito come efficace (se implementato) tra gli addetti alla sicurezza IT?
@daikin: DKIM e SPF sono cose separate.DMARC unifica entrambi e li lega anche al dominio specificato nell'intestazione From della posta anziché solo alla busta SMTP.Sono considerati efficaci sebbene possano anche rompersi, come SPF durante l'inoltro e DKIM se un MTA converte una posta a 8 bit in stampabile con virgolette o simile.
Giusto per espandere il punto di Steffen qui - mentre la crittografia (dovrebbe) fornire una prova positiva dell'identità, anche dove è implementata, fornisce solo la prova che la macchina può riconoscere, non l'utente.I browser sono migliori degli user agent di posta nel trasmettere questo all'utente, ma gli utenti sono comunque presi dal cloaking degli URL e dai siti che non si preoccupano nemmeno di nascondere il vero URL.Anche se ho detto che i MUA sono peggiori dei browser, in realtà dovrebbero essere obiettivi più facili su cui implementare l'apprendimento del comportamento, l'inferenza sull'integrità e informare gli utenti sul livello di fiducia dedotto.
#5
+4
Harper - Reinstate Monica
2017-09-22 21:48:21 UTC
view on stackexchange narkive permalink

È così difficile che non vale la pena provare.

Sì, ci sono modi per aumentare notevolmente il rilevamento. Ma ognuno di loro è battibile dai phisher.

  • Inglese stentato: devono semplicemente ottenere un'e-mail di Wells Fargo autentica e modificare gli URL / i dettagli.
  • Received: header - devono semplicemente rompere qualsiasi box ovunque all'interno di Wells Fargo che può accedere a qualsiasi server SMTP ufficiale .
  • Collegamenti al passaggio del mouse (destinazioni effettive): francamente, le aziende li rendono inutili da sole, acquisendo nomi di dominio casuali per i contenuti ufficiali.
  • Normalità e social hacking non entrano in gioco se l'e-mail di phishing sembra di routine, ad esempio "ecco il tuo estratto conto mensile".

Mi dispiace. Non puoi distinguerli. Convincere te stesso che puoi è il modo più sicuro per diventare cieco. Perché per avere successo, devi farlo bene ogni volta . Devono essere fortunati solo una volta.

Farlo bene ogni singola volta non vale la pena quando c'è un'alternativa facile.

Trattali tutti come dubbiosi e vai fuori banda.

Non faccio mai clic sui link nelle e-mail delle banche. Questa è una lunga abitudine. ** Tratto le email della banca solo come un solletico per andare a controllare il mio account in un'altra app , per telefono o semplicemente per entrare.

Ora, telefono ti costringe a un test di realtà: questo messaggio è credibile o abbastanza importante da disturbare un altro essere umano? Ho davvero bisogno che un agente CS mi dica "No, il tuo account non è bloccato, perché dovremmo farlo?"


** in parte, è a causa delle mie piattaforme. Su dispositivo mobile, ho un'app dedicata per la mia banca e non ho motivo di utilizzare la loro interfaccia utente web. Sul desktop, eseguo la mia webmail in FireFox, dove ho disabilitato Javascript, quindi non posso fare clic su un collegamento poiché il sito della banca non funziona: questo mi costringe a cambiare browser e navigare. Potrei copiare / incollare il link di clic se lo desidero , ma davvero non lo faccio. Voglio dire, lo farò per le email di reimpostazione della password, ma me le aspetto.

#6
+3
dan
2017-09-20 19:01:33 UTC
view on stackexchange narkive permalink

C'è un modo definitivo per me e non mi ha ingannato per più di 15 anni ricevendo un flusso continuo di crapware. Non sono sicuro che sia adatto a tutti gli utenti senza una formazione minima, ma lo darò poiché è semplice, gratuito e sopravvissuto a molti battesimi del fuoco con ogni nuova tecnologia di phishing.

Ho appena letto il testo completo fonte di intestazioni di qualsiasi e-mail dubbia. Per e-mail dubbia, considero anche qualsiasi e-mail proveniente direttamente da un collega noto inviata dal suo indirizzo professionale non appena poiché vedo una richiesta , devo verificare la sua identità per soddisfare la sua richiesta. Vedi la risposta breve ma sorprendente di R..

Ad esempio, un'e-mail da mia sorella Alice inviata dal suo vero professionista indirizzo chiedendomi di farle un bonifico Western Union al suo indirizzo postale in Nicaragua dove le è stato rubato tutto. Guardando le fonti complete delle intestazioni ho scoperto che il primo indirizzo IP utilizzato era un IP privato (192.168.1.217) e il primo IP pubblico era in Nigeria . Ho anche notato che questa e-mail è stata inviata con il suo account reale autenticato e sono in grado di avvisare il suo CISO che la sua password è stata rubata (tramite un attacco di phishing come al solito).

Con la formazione per leggere queste terribili intestazioni sono in grado di riconoscerle in meno di 15 secondi, senza nemmeno dover controllare la loro posizione IP di origine.

Non credo che avrei nemmeno bisogno di guardare le intestazioni per essere molto sospettoso di quell'email di Alice.
#7
+2
Tom
2017-09-21 17:38:17 UTC
view on stackexchange narkive permalink

No, non esiste un modo infallibile per identificare le e-mail di phishing.

Se ci fosse, avremmo programmato in questo modo un software e lo avremmo installato su tutti i server di posta e il problema scomparirebbe.

Ci sono lunghi elenchi di indizi - altre risposte fanno un buon lavoro elencandoli - ma il campo cambia sempre e l'elenco non è mai perfetto. Fortunatamente, la maggior parte delle e-mail di phishing sono eseguite da dilettanti e sono banali da individuare con una certa esperienza, perché la maggior parte degli utenti è facile da ingannare e quindi i creatori di e-mail di phishing non devono fare molti sforzi.

Tuttavia, ci sono alcune mail di phishing estremamente ben fatte, specialmente quando si tratta di spear-phishing (cioè mirate a persone, spesso qualificate e istruite in IT). Alcuni studi dieci anni fa (scusate, non ricordo il collegamento) hanno mostrato che persino i professionisti IT sbagliavano messaggi di phishing ben fatti circa il 30% delle volte.

Si noti inoltre che se si espande considerevolmente sforzi per stabilire cosa sta succedendo, il truffatore è già riuscito a farti perdere tempo. Studiare le intestazioni o qualsiasi altro esercizio menzionato è per le persone che non ricevono 200 messaggi ogni giorno.

#8
+1
user27158
2017-09-20 18:03:52 UTC
view on stackexchange narkive permalink

Oltre alle ottime risposte sopra, qualcos'altro che ti dà un buon indizio è fare clic con il pulsante destro del mouse sui link nella pagina (assicurati di non fare clic con il pulsante sinistro!) e scegliere "Ispeziona elemento" *.

Se questa è un'e-mail falsa, vedrai alcuni indirizzi e-mail senza senso. Quelli che vedo spesso iniziano con "adclick.g.doubleclick.net/". Potresti anche ottenere indirizzi aziendali non pertinenti su quelli che sembrano essere link autentici. **

Anche se sono sicuro che questo sito web è legittimo, se ho un'e-mail che mi dice di utilizzare un link come questo per annullare un ordine, allora si tratta chiaramente di una truffa.

* Potrebbe apparire come un altro nome simile come "Ispeziona", a seconda il browser

** La mancanza di un collegamento sospetto non lo rende un'e-mail autentica. Vedi le altre risposte per ulteriori informazioni da controllare

Questo ovviamente funziona solo se stai leggendo la tua e-mail in un browser web.
Come regola pratica di sicurezza, non leggo né la mia posta elettronica professionale in un browser web, né in un software in grado di inviare automaticamente qualsiasi codice HTML in un browser web.Prima di copiare un URL ho visto la sua fonte (infatti non vedo il valore visualizzato come "Clicca qui!") E ho deciso che è davvero un'informazione importante.
#9
+1
James_pic
2017-09-20 21:04:35 UTC
view on stackexchange narkive permalink

Se l'email include un collegamento, ci sono alcuni controlli di base che puoi eseguire aprendolo in una finestra di navigazione privata.

Assicurati che la tua finestra di navigazione privata sia il più sicura possibile prima di iniziare. Come minimo, assicurati che il tuo browser sia completamente aggiornato. Potresti anche voler disabilitare Javascript, eseguire il browser in una sandbox come Firejail o persino isolarlo in una macchina virtuale (usando VirtualBox o simili).

Ora apri il link nella finestra di navigazione privata. Una volta caricata la pagina, controlla la barra degli indirizzi. Assicurati che il nome host (nei browser moderni questa parte dell'indirizzo è solitamente più scura del resto) corrisponda al sito che ti aspettavi di raggiungere. La parte più importante del nome host (e la più difficile da impersonare per un utente malintenzionato) è la parte alla fine, dal nome dell'organizzazione in poi. Quindi, se il link che hai nei tuoi segnalibri è www. facebook.com , allora accedi. facebook.com è probabilmente OK, ma www. facebook. example.com o www. facebook.biz non lo è.

Verifica che il sito disponga di un certificato valido: nella maggior parte dei browser moderni è presente un lucchetto verde o vicino alla barra degli indirizzi. Se manca, è rosso, giallo o grigio, probabilmente non dovresti accedere a questo sito, anche se sei in grado di dimostrare che è l'indirizzo corretto.

Successivamente, se la pagina che raggiungi ha un'opzione di accesso, usala, ma con credenziali non funzionanti. Gli attacchi di phishing in genere non tentano di convalidare le credenziali immesse, mentre un sito reale lo farebbe. Se non ti avvisa che le credenziali non erano valide, probabilmente è un attacco di phishing.

E infine, se puoi evitare di utilizzare il link nell'email, fallo. Se hai un link al sito nei tuoi segnalibri o puoi ottenere un indirizzo attendibile in qualche altro modo, accedi utilizzando invece quell'indirizzo.

Quindi il tuo consiglio sulla ricezione di un'e-mail che ritieni possa essere dannosa è di aprire i collegamenti al suo interno?Sembra un'idea terribile.Le finestre di navigazione private non ti proteggeranno dal malware e il tuo schema di utilizzo di credenziali non funzionanti fallirà se il sito Web fasullo funziona come un uomo in mezzo tra te e il sito Web reale.
Beh, suppongo tecnicamente, la domanda era come identificare il phishing, non come evitare i download drive-by.Se puoi aumentare le tue possibilità di fare il primo assumendoti dei rischi intorno al secondo, allora personalmente non sono d'accordo, ma l'interlocutore potrebbe avere un PC di riserva che non gli dispiace bruciare in seguito ;-)
Se stai utilizzando un browser aggiornato, è improbabile che i download drive-by rappresentino un problema, anche se ovviamente alcuni browser svolgono un lavoro migliore in termini di sicurezza e privacy rispetto ad altri.Lo arricchirò un po '. Man-in-the-middle è una preoccupazione, ma in pratica non ho mai saputo che gli aggressori lo facessero correttamente.Dato che la risposta più votata suggerisce di controllare l'ortografia errata, penso che sia ragionevole verificare i punti tecnici che gli aggressori raramente riescono a correggere.
Quando avrai caricato la pagina collegata, il mittente potrebbe benissimo sapere che il tuo indirizzo e-mail è sia * valido * che * monitorato *.Ciò lo rende molto più prezioso per la vendita di elenchi di indirizzi e-mail;chiunque può trovare indirizzi e-mail casuali, ma ci vuole più impegno (e aumenta il tasso di ritorno per uno spammer) per confermare effettivamente che sono validi.
#10
+1
adam.baker
2017-09-21 14:44:22 UTC
view on stackexchange narkive permalink

Potrebbe trattarsi di mera pedanteria, ma no: non esiste un modo definitivo per capire se un'email è un tentativo di phishing.

Supponi che una principessa nigeriana avesse davvero bisogno di assistenza nel trasferimento di ingenti somme di denaro fuori dal paese; supponiamo inoltre che non avesse nessun altro al mondo a cui rivolgersi, e che in effetti fosse ridotta a inviare messaggi di posta elettronica a perfetti sconosciuti. In una situazione del genere, un utente potrebbe ricevere una legittima richiesta di assistenza da una principessa nigeriana, che sarebbe comunque identica a un classico messaggio di phishing.

(Un'applicazione non pedante dell'esempio precedente sarebbe quella di chiediti se sei più infastidito dai falsi positivi o dai falsi negativi, che informeranno quanto rigoroso un filtro implementi.)

Ancora una volta, questa potrebbe essere semplice pedanteria, ma la frode a pagamento anticipato non è tecnicamente phishing.Quindi, finché la principessa nigeriana si limita a chiederti di inviare una tassa di elaborazione di $ 1000 per liberare la sua vasta fortuna in tua custodia, la sua email non verrà confusa con un tentativo di phishing ;-)
Se vuoi essere pedante: non c'è mai stato un principe della Nigeria.Dalla sua fondazione nel 1960, la Nigeria è sempre stata democratica o governata da una giunta militare.Ci sono varie PARTI della Nigeria dove i governanti tradizionali locali sono chiamati re o sultani ecc. Ma immagino che sarebbero abbastanza orgogliosi della loro eredità da chiamarsi principi di quella zona, non della Nigeria.
#11
  0
allo
2017-09-22 20:38:39 UTC
view on stackexchange narkive permalink

Non nella generalità come stai chiedendo. E il problema non sono solo le mail di phishing. Dai un'occhiata ai messaggi di posta provenienti da mittenti legittimi come Twitter, Amazon, PayPal e altri.

Molti di loro usano cattive pratiche. Collegamento di https: // mysite a https://mysite-mailtracking.com/asdf , utilizzando HTML complicato nella posta, utilizzando domini diversi come dominio del servizio principale, mittente della posta dominio e domini che menzionano nella posta e inseriscono molte informazioni nelle immagini invece che nel testo.

Quando vuoi testarlo come un esperto che vuole vedere come stanno facendo phishing, un metodo sarebbe " fai clic in un browser protetto, guarda a quale dominio sei reindirizzato e se questo corrisponde al modulo che ottieni quando accedi manualmente e apri il modulo ". Ma non è niente da suggerire a un utente, che si innamora di cose molto più semplici.

Quindi il consiglio ragionevole qui: Ignora qualsiasi cosa nella posta ma che qualcosa è successo e accedi con il tuo browser come fai tutti i giorni. La maggior parte dei servizi ti dirà ciò che la posta voleva che tu sapessi, poiché gli utenti oggi spesso utilizzano il sito web / l'app più spesso di quanto leggano la posta.

#12
  0
paj28
2017-09-23 20:35:01 UTC
view on stackexchange narkive permalink

Un'azienda di sicurezza professionale di solito può determinare con quasi certezza se un'email è phishing o meno. Potrebbe non essere utile all'utente medio, ma ecco come lo farebbero:

Origine dell'email

Le email contengono una serie di intestazioni che mostrano il Indirizzo IP dei ritrasmettitori di posta. Questi possono essere analizzati per identificare l'indirizzo IP del mittente. Questa dovrebbe essere l'organizzazione legittima. Se si tratta di un nodo di uscita ToR, è altamente sospetto.

Ci sono scenari in cui l'origine è inconcludente, come un provider di posta di terze parti. In tal caso, l'azienda parlerebbe con il provider di posta e con l'organizzazione legittima e normalmente potrebbe risolvere il problema.

Guarderebbe anche l'indirizzo email di origine e forse controllerebbe i registri di posta elettronica in uscita dell'azienda legittima .

Contenuto dell'email

Di solito un'e-mail di phishing ha un collegamento a un sito web che NON è di proprietà dell'organizzazione legittima e richiede i dettagli di accesso. Il dominio potrebbe essere ingannevole (ad es. Mybank-secure.com non ha nulla a che fare con myback.com), essere un sosia (ad es. Una maiuscola mi sembra una l minuscola) o potrebbe utilizzare un attacco come cross-site scripting o sessione fissazione per mostrare il dominio legittimo. Per gestire tutto ciò, la fonte dell'email sarebbe stata analizzata manualmente come testo normale e la proprietà di tutti i domini sarebbe stata esaminata in dettaglio. In alcuni casi potrebbe trattarsi di un'e-mail legittima che utilizza cattive pratiche, ma è comunque meglio non inserire i tuoi dati!

La posta potrebbe contenere anche malware. L'esecuzione di un software antivirus su qualsiasi allegato è un inizio. Ma questo potrebbe essere un malware polimorfico o zero-day che resiste all'antivirus. Invece, l'analisi manuale tenterà di identificare tutto ciò che sembra sospetto. Un documento di Word con una macro onload che crea un oggetto OLE potrebbe non attivare il software antivirus, ma è certamente sospetto.

Ancora una volta, questo non sarà sempre decisivo. Per alcuni tipi di spear phishing, potrebbe essere impossibile distinguere i contenuti legittimi da quelli fraudolenti. Se qualcuno sta vendendo qualcosa e poco prima del pagamento riceve un'e-mail che dice "effettivamente, invia i soldi qui ..." - il contenuto da solo non ti aiuta, devi controllare l'origine.


Non mi è mai stato chiesto di farlo, ma mi aspetto che la maggior parte delle società di medicina legale lo faccia di tanto in tanto. Nelle grandi organizzazioni, a volte i messaggi di posta elettronica in blocco vengono inviati ai clienti senza un'adeguata autorizzazione. Forse un'e-mail di questo tipo è stata segnalata come phishing, quindi l'organizzazione originale deve capire cosa è successo. Se ciò accade, mostra che l'organizzazione ha scarsi controlli sulle email dei clienti, ma non sarà una grande sorpresa.

Consigli anti-phishing

Aggiungi ai preferiti i siti che ti interessano: banca, carta di credito, ecc. Se ricevi un'email da loro, non fare clic su quel collegamento; usa invece il tuo segnalibro. Questa semplice precauzione sconfigge la stragrande maggioranza degli attacchi di phishing.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...