C'è un modo definitivo per capire se un messaggio di posta elettronica è un tentativo di phishing? Quali indicazioni dovrebbe avere l'utente del "computer medio" per rilevare l'e-mail di phishing?
Esistono numerosi modi tecnici e non tecnici per consentire a qualcuno di identificare un tentativo di phishing.
Posiziona il mouse sui link : i link di phishing vengono generalmente "offuscati" per apparire come se si collegassero a una pagina di accesso. Ad esempio il testo potrebbe essere link tuttavia quando si passa il mouse sopra il collegamento si nota che è un nome di dominio lungo e dettagliato. Raccontare phishing.
EDIT: Come Mehrdad e Bacon Brad hanno sottolineato, questo metodo può fornire risultati misti. I collegamenti possono essere utilizzati in una varietà di attacchi come attacchi CSRF / XSS e il collegamento fornito può anche portare a una terza parte autorizzata.
Intestazioni email - Forse uno dei modi più esperti di sapere se una e-mail è legittima è guardando Intestazioni e-mail . Le e-mail contengono metadati che indicano da dove provengono le e-mail. Solitamente puoi dire guardando l'intestazione dell'e-mail se una email proviene da una fonte autenticata con queste intestazioni. Nota che questo è non infallibile in quanto molte organizzazioni possono esternalizzare le campagne di posta, ma le e-mail provenienti da un indirizzo IP privato potrebbero indicare un messaggio di phishing.
Nella mia esperienza non esiste un punto d'argento nel trattare il phishing. Durante i test di penetrazione spear phishing always funziona. Le informazioni di cui sopra ti aiuteranno a individuare i tentativi di phishing, ma il modo più semplice ed efficace per confermare o rifiutare un tentativo di phishing è chiamare il "mittente" per confermare se è legittimo.
Ti chiede di fare qualcosa che non dovresti fare senza autenticare l'identità della parte che ti sta chiedendo di farlo? (Si noti che "inserire una password" è un'azione del genere!) Se è così, puoi trattarlo efficacemente come phishing indipendentemente dai motivi del mittente, poiché email non è autenticato e quindi non è un mezzo adatto per richiesta di un'azione privilegiata.
Non esiste un modo perfetto per identificare le e-mail di phishing, nel senso di una procedura che ti dice sempre, per ogni e-mail, chi l'ha inviata e perché. In pratica, una grande maggioranza delle e-mail di phishing sono abbastanza facilmente identificate come tali, perché sono per lo più abbastanza semi-assed. Alcuni di loro non arrivano nemmeno nella tua casella di posta, perché sono così falsamente falsi che persino il filtro del tuo provider di posta elettronica li ha individuati. Ma non esiste un insieme "definitivo" di funzionalità dell'e-mail che è possibile controllare ogni volta.
Invece di cercare di determinare se i messaggi di posta elettronica sono tentativi di phishing, dovresti evitare di intraprendere azioni che si basino sulla loro correttezza sul fatto che l'e-mail che hai ricevuto sia un tentativo di phishing . In questo modo non è necessario essere in grado di distinguere.
Ad esempio, anche se l'e-mail appena ricevuta proviene realmente dalla tua banca, continua a non fare clic sui collegamenti e quindi digita i dettagli di accesso. Vai invece sul sito della tua banca digitando un URL che ricordi o utilizzando un segnalibro. Quindi accedere e quindi cercare un modo per navigare dove l'e-mail ti ha detto di andare. Come ultima risorsa, perché il sito della tua banca è orribile, dopo aver effettuato l'accesso potresti utilizzare il link nell'email ma non accedere nuovamente a destinazione, o rinunciare a qualsiasi altra informazione sensibile. Ma fai attenzione che ci sono attacchi diversi dal phishing , che potresti esporti semplicemente visitando una pagina dannosa e senza rinunciare a nessuna informazione sensibile.
Questo funziona per i soliti tentativi di finanziamento / shopping phishing. Purtroppo ci sono casi in cui non è pratico. Supponiamo che un talentuoso spear-phisher, magari lavorando per il tuo concorrente, typo-squat su un dominio simile al dominio del tuo datore di lavoro, e mandi una mail che sembra provenire dal tuo capo, usando il loro vero footer email, dicendo "a che prezzo stiamo andando per citare nel campo di Jenkins? ". Non è realistico che ogni volta che rispondi a un'email di un'azienda (dozzine di volte al giorno), presti attenzione all'indirizzo che stai inviando, per assicurarti che sia davvero youremployer.com e non youremp1oyer.com o yourempIoyer. com o (heaven forfend) youremploуer.com [*]. Il tuo client di posta elettronica può o non può aiutarti, in termini di indicazione visiva se un indirizzo email è già presente nella tua rubrica personale o nella directory della tua azienda.
La differenza è che il tuo datore di lavoro, per qualsiasi motivo, ha deciso che utilizzerà l'e-mail come mezzo per comunicare informazioni riservate. La tua banca, d'altra parte, ha preso una decisione diversa. Il canale giusto per le comunicazioni sensibili a e dalla tua banca è il loro sito web, o un'app per telefono o forse per telefono (anche se non ti fidare delle chiamate presumibilmente dalla tua banca), o per posta per certe cose, o di persona. Quindi non fidarti dell'email che è o sembra essere dalla tua banca. Non fidarti nemmeno di collegarti al sito della tua banca. Invece, considera un prompt per utilizzare un canale di cui ti puoi fidare.
[*] Il primo è semplice: digitare 1 per lettere minuscole L. Il secondo è un po 'più difficile in molti tipi di caratteri: maiuscolo I per lettere minuscole L. Il terzo sostituisce un alfabeto cirillico minuscolo Y maiuscolo. il client lo restituisce, probabilmente non sarai in grado di distinguere l'aspetto.
Mentre molte e-mail di phishing sono ovvie, non esiste un modo preciso per rilevare il phishing più intelligente. E sembra che la quantità di phishing intelligente stia aumentando.
Esistono tecniche che potrebbero aiutare a scoprire se il mittente è quello che sta rivendicando, ovvero le firme digitali, DMARC (che include DKIM + SPF) ecc. Ma queste devono essere utilizzate sul sito del mittente e verificate sul sito destinatario - ed entrambi mancano in molti casi o sono resi (inutilmente) complessi.
Se la posta sostiene di provenire da un mittente, sai già che potresti confrontare le mail con quelle che hai ricevuto in precedenza per una varietà di funzioni, come lo stesso indirizzo email del mittente, stesso percorso di trasporto (intestazione ricevuta nella posta) , stesso client di posta .... Molte di queste funzionalità sono visibili solo nel codice sorgente della posta e molte di queste richiedono esperienza da estrarre e confrontare, quindi gli utenti medi non saranno in grado di farlo (a parte la mancanza di tempo e motivazione) nella maggior parte dei casi).
Consiglio di dare un'occhiata a un recente intervento su questo argomento nell'ultima conferenza di Blackhat: Ittiologia: Phishing as una scienza .
Sì, ci sono modi per aumentare notevolmente il rilevamento. Ma nessuno di loro è battibile dai phisher.
Received:
headers - hanno semplicemente bisogno di crackare qualsiasi casella ovunque all'interno di Wells Fargo che può accedere a qualsiasi server SMTP ufficiale. Mi dispiace. Non puoi distinguerli. Convincere te stesso che puoi è il modo più sicuro per diventare ciechi. Perché per avere successo, devi correggerlo ogni volta . Devono solo essere fortunati una volta.
Riuscire a farlo bene ogni volta non vale la pena quando c'è un'alternativa facile.
Non faccio mai clic sui link nelle e-mail dalle banche. Questa è una lunga abitudine. ** Trovo le e-mail bancarie solo come un solletico per andare a controllare il mio account in un'altra app , o telefonare o semplicemente entrare.
Ora, il telefono ti costringe a un controllo di realtà: questo messaggio è credibile o abbastanza importante da infastidire un altro essere umano? Ho davvero bisogno di un agente CS per dirmi "No, il tuo account non è bloccato, perché dovremmo farlo?"
** in parte, è a causa delle mie piattaforme. Sul cellulare, ho un'app dedicata per la mia banca e non ho motivo di usare la loro interfaccia utente web. Sul desktop, faccio la mia webmail in FireFox, dove ho disabilitato Javascript, quindi non posso fare clic su un collegamento perché il sito della banca non funziona - questo mi obbliga a cambiare browser e navigare. Potrei copiare / incollare il link click se voglio davvero - ma davvero no. Voglio dire, lo farò per le email di reimpostazione della password, ma me lo aspetto.
Per me c'è un modo definitivo e non mi ha ingannato per più di 15 anni di ricezione di un flusso continuo di crapware. Non sono sicuro che soddisferà ogni utente senza un minimo di allenamento, ma lo darò dato che è semplice, gratuito e sopravvive a molti battesimi di fuoco con ogni nuova tecnologia di phishing.
Ho appena letto l'intera fonte di intestazioni di qualsiasi dubbio indirizzo e-mail. Per dubbia E-mail, considero anche qualsiasi e-mail proveniente direttamente da un collega conosciuto inviato dal suo indirizzo professionale non appena vedo una richiesta I deve controllare la sua identità per soddisfare la sua richiesta. Vedi la risposta breve ma sorprendente di R. .
Ad esempio, una e-mail di mia sorella Alice inviata dal suo indirizzo professionale vero che mi chiedeva di farle un trasferimento Western Union al suo indirizzo postale in Nicaragua era lei è stata rubata di tutto. Osservando le fonti complete delle intestazioni ho scoperto che il primo indirizzo IP utilizzato era un IP privato (192.168.1.217) e il primo IP pubblico era in Nigeria . Ho anche notato che questa e-mail è stata inviata con lei account reale autenticato e sono in grado di avvertirla del suo CISO la password è stata rubata (tramite un attacco di phishing come al solito).
Con l'allenamento per leggere queste terribili intestazioni riesco a riconoscerle in meno di 15 secondi, senza nemmeno dover controllare la loro posizione IP di origine.
No, non esiste un modo infallibile per identificare le e-mail di phishing.
Se ce ne fossero, avremmo programmato questo modo in un software e averlo installato su tutti i server di posta e il problema sarebbe andato via.
Ci sono lunghe liste di indizi - altre risposte fanno un buon lavoro elencandole - ma il campo cambia sempre e l'elenco non è mai perfetto. Fortunatamente, la maggior parte delle mail di phishing sono fatte da dilettanti e sono banali da individuare con una certa esperienza, perché la maggior parte degli utenti è facile da imbrogliare e quindi i creatori di mail di phishing non devono fare molto sforzo.
Tuttavia, ci sono alcune mail di phishing estremamente ben fatte, specialmente quando si fa lo spear-phishing (vale a dire individui mirati, spesso qualificati e istruiti nell'IT). Alcuni studi dieci anni fa (mi dispiace, non ricordo il link) hanno dimostrato che anche i professionisti IT hanno sbagliato le e-mail di phishing circa il 30% delle volte.
Si noti inoltre che se si espandono considerevoli sforzi per stabilire cosa sta succedendo, il truffatore è già riuscito a perdere tempo. Studiando le intestazioni o qualsiasi altro esercizio menzionato sono per le persone che non ricevono 200 mail ogni giorno.
Oltre alle ottime risposte di cui sopra, qualcos'altro che ti dà una buona idea è quello di fare clic con il pulsante destro del mouse sui collegamenti nella pagina (assicurati di non fare clic con il tasto sinistro!) e scegliere "Ispeziona elemento" *.
Se si tratta di un'e-mail falsa, vedrai qualche indirizzo e-mail senza senso. Quelli che vedo spesso iniziano con "adclick.g.doubleclick.net/". Potresti anche ricevere indirizzi aziendali irrilevanti su quelli che sembrano essere collegamenti autentici. **
Anche se sono sicuro che questo sito sia legittimo, se ho una mail che mi dice di usare un link come questo per cancellare un ordine, allora è chiaramente una truffa.
* Questo potrebbe apparire come un altro nome simile come "Ispeziona", a seconda del browser
** La mancanza di un link sospetto non ne fa una vera email. Vedi le altre risposte per ulteriori cose da controllare
Questa potrebbe essere una semplice pedanteria, ma no: non esiste un modo definitivo per dire se un messaggio di posta elettronica è un tentativo di phishing.
Supponiamo che una principessa nigeriana avesse davvero bisogno di assistenza nel trasferire grandi somme di denaro fuori dal paese; Supponiamo inoltre di non avere nessun altro al mondo a cui rivolgersi, ed è stato effettivamente ridotto a inviare messaggi e-mail a sconosciuti. In tale situazione, un utente potrebbe ricevere una richiesta legittima di assistenza da una principessa nigeriana, che sarebbe tuttavia identica a un classico messaggio di phishing.
(Un'applicazione non pedante dell'esempio sopra sarebbe chiedere a te stesso se sei più infastidito dai falsi positivi o dai falsi negativi, che informeranno quanto è severo un filtro che implementa.)
Se l'e-mail include un link, ci sono alcuni controlli di base che puoi fare aprendolo in una finestra di navigazione privata.
Assicurati che la tua finestra di navigazione privata sia il più sicura possibile prima di iniziare. Come minimo, assicurati che il tuo browser sia completamente aggiornato. Potresti anche voler disabilitare Javascript, eseguire il browser in una sandbox come Firejail o persino isolarlo in una macchina virtuale (usando VirtualBox o simili).
Ora apri il link nella finestra di navigazione privata. Una volta caricata la pagina, controlla la barra degli indirizzi. Assicurati che il nome host (nei browser moderni questa parte dell'indirizzo sia solitamente più scuro del resto) corrisponda al sito che ci si aspettava di raggiungere. La parte più importante dell'hostname (e la più difficile da impersonare da parte di un utente malintenzionato) è la parte alla fine, dal nome dell'organizzazione in poi. Quindi se il link che hai nei tuoi segnalibri è www. facebook.com , quindi accedi. facebook.com probabilmente è OK, ma www. facebook. example.com o www. facebook.biz non lo è.
Verifica che il sito abbia un certificato valido - nella maggior parte dei browser moderni, c'è un lucchetto verde nella barra degli indirizzi o vicino. Se manca, rosso, giallo o grigio, probabilmente non dovresti accedere a questo sito, anche se sei in grado di dimostrare che è l'indirizzo corretto.
Successivamente, se la pagina che hai raggiunto ha un'opzione di accesso, usala, ma con credenziali non funzionanti. Gli attacchi di phishing in genere non tentano di convalidare le credenziali inserite, mentre un sito reale lo farebbe. Se non ti avvisa che le credenziali non sono valide, è probabilmente un attacco di phishing.
E infine, se puoi evitare di usare il link nell'e-mail, allora fallo. Se hai un link al sito nei tuoi segnalibri, oppure puoi ottenere un indirizzo attendibile in un altro modo, accedi invece usando quell'indirizzo.
Non nella generalità come stai chiedendo. E il problema non sono solo le mail di phishing. Dai un'occhiata alle e-mail di mittenti legittimi come Twitter, Amazon, PayPal e altri.
Molti usano pratiche sbagliate. Collegamento di https://mysite
a https://mysite-mailtracking.com/asdf
, utilizzando l'HTML complicato nella posta, utilizzando domini diversi come dominio di servizio principale, dominio mittente della posta e domini menzionati nella posta e inserendo molte immagini in immagini anziché testo.
Quando vuoi testarlo come un esperto che vuole vedere come stanno facendo phishing, un metodo sarebbe "fai clic su un browser protetto, guarda su quale dominio sei reindirizzato e se questo corrisponde al modulo che ottieni quando accedi manualmente e apri il modulo ". Ma questo non è nulla da suggerire a un utente, che cade per cose molto più semplici.
Quindi il consiglio ragionevole qui: Ignora qualsiasi cosa nella posta ma quel qualcosa è successo e accedi con il tuo browser come fai ogni giorno. La maggior parte dei servizi ti dirà che cosa voleva sapere la posta, poiché gli utenti oggi usano spesso il sito / l'app più spesso di quanto non leggano le loro mail.
Una società di sicurezza professionale in genere può determinare con quasi certezza se una e-mail è phishing o meno. Questo potrebbe non essere utile per l'utente medio, ma ecco come lo farebbero:
Origine email
Le email contengono una serie di intestazioni che mostrano l'indirizzo IP dei relè di posta. Questi possono essere analizzati per identificare l'indirizzo IP del mittente. Questa dovrebbe essere l'organizzazione legittima. Se si tratta di un nodo di uscita ToR, è altamente sospetto.
Ci sono scenari in cui l'origine è inconcludente, come un provider di posta di terze parti. In tal caso, la società avrebbe parlato con il provider di posta e con l'organizzazione legittima e normalmente poteva risolvere il problema.
Esaminerebbero anche l'indirizzo email di origine e forse controllerebbero i log delle email in uscita della società legittima.
Contenuto email
In genere un email di phishing ha un collegamento a un sito Web NON appartenente all'organizzazione legittima e richiede i dettagli di accesso. Il dominio potrebbe essere ingannevole (es. Mybank-secure.com non ha nulla a che fare con myback.com), essere un sosia (ad esempio una maiuscola mi sembra una l maiuscola) o usare un attacco come script o sessione cross-site fissazione per mostrare il dominio legittimo. Per gestire tutti questi aspetti, l'origine della posta elettronica verrebbe analizzata manualmente come testo in chiaro e la proprietà di tutti i domini esaminati in dettaglio. In alcuni casi questa potrebbe essere un'e-mail legittima che utilizza cattive pratiche, ma è meglio non inserire comunque i tuoi dettagli!
La posta potrebbe contenere anche malware. Eseguire un software antivirus su qualsiasi allegato è un inizio. Ma questo potrebbe essere un malware polimorfo o zero-day che resiste all'antivirus. Invece, l'analisi manuale cercherà di identificare tutto ciò che sembra sospetto. Un documento Word con una macro onload che crea un oggetto OLE potrebbe non attivare il software anti-virus, ma è certamente sospetto.
Ancora una volta, questo non sarà sempre conclusivo. Per alcuni tipi di spear phishing, potrebbe essere impossibile distinguere i contenuti legittimi da quelli fraudolenti. Se qualcuno sta vendendo qualcosa, e poco prima del pagamento ricevi un'email dicendo "in realtà, manda i soldi qui ..." - il contenuto da solo non ti aiuta, devi controllare l'origine.
Non mi è mai stato chiesto di farlo, ma mi aspetto che la maggior parte delle società forensi faccia di tanto in tanto. Nelle grandi organizzazioni, a volte le e-mail di massa vengono inviate ai clienti senza un'adeguata autorizzazione. Forse un messaggio di questo tipo è stato segnalato come phishing, quindi l'organizzazione originale ha bisogno di capire cosa è successo. Se ciò accade, mostra che l'organizzazione ha scarsi controlli sulle e-mail dei clienti, ma non sarà una grande sorpresa.
Consigli anti-phishing
Contrassegna i siti che ti interessano: la tua banca, la tua carta di credito, ecc. Se ricevi un'email da loro, non fare clic su quel link; usa invece il tuo segnalibro. Questa semplice precauzione sconfigge la stragrande maggioranza degli attacchi di phishing.