Qual è il modo migliore per rispondere alle e-mail di phishing inviate da un dominio governativo?

22

Nel passato giorno o giù di lì, ho ricevuto due e-mail da diversi indirizzi .gov che provengono da Intuit e mi incoraggiano a fare clic su un link per "ripristinare l'accesso al tuo account QuickBooks". Non stanno fingendo di essere indirizzi governativi. Se faccio clic su Rispondi, il campo mail-to dice [email protected], proprio come gli stati email nella sezione Da.

Ho inoltrato queste e-mail all'indirizzo raccomandato dalla FTC per le truffe di phishing, ma vorrei che le agenzie coinvolte sapessero di avere account compromessi. C'è un modo semplice per farlo? Ho consultato il sito web di un'agenzia, ma non c'era alcun contatto che sembrava giusto (Texas agriculture.gov).

Sarebbe utile inviare un'email a quella persona (all'indirizzo compromesso)? Non voglio passare tutto il giorno su questo, dal momento che sto lavorando. Voglio solo dare qualcuno a testa alta. Speravo che ci fosse una "casella di posta elettronica di segnalazione usata male dal governo" da qualche parte, ma non riesco a trovare nulla di simile.

    
posta gp782 20.07.2016 - 14:40
fonte

5 risposte

48

È probabile che l'intestazione from sia stata falsificata. Ricevo spesso e-mail da .gov falsi, per lo più finiscono nel mio filtro anti-spam. Il collegamento ipertestuale all'interno è unico, consente il tracciamento o fornisce semplicemente malware. Il più delle volte li ignoro semplicemente.

Se ritieni che l'intestazione non sia falsata, in genere puoi contattare l'agenzia tramite il nome di Google e il webmaster o contattaci o altre cose simili. Non utilizzare l'e-mail di phishing, è quasi certamente falso.

    
risposta data 20.07.2016 - 14:45
fonte
24

Dovresti rispondere al phishing dagli indirizzi .gov nello stesso modo in cui rispondi a qualsiasi altro tipo di phishing - non lo fai.

Non rispondere all'e-mail, non fare clic sui collegamenti, non aprire allegati, non fare nulla che ti viene richiesto dall'email.

Se vuoi davvero essere generoso, controlla i record WHOIS per il dominio da cui proviene il messaggio. Questo potrebbe avere informazioni su dove inviare segnalazioni di abuso. Puoi anche controllare la homepage della agenzia governativa per un indirizzo di contatto tecnico.

Se quelli non ti aiutano, e non ti dispiace fare un tiro al buio, potresti lanciare un messaggio a abuse@ o spam@ sul dominio da cui proviene la posta. Si tratta di account comuni utilizzati dai team di risposta agli incidenti in molte organizzazioni proprio per questo scopo.

Se trovi un punto di contatto, ricorda di inoltrare il messaggio come allegato, non solo in linea. Ciò consente al team di risposta di vedere le intestazioni dei messaggi e raccogliere ulteriori metadati che altrimenti non sarebbero disponibili.

Fai attenzione a ciò che rivendichi. Come altri hanno accennato, è molto probabile che il messaggio non abbia nemmeno avuto origine dal dominio in cui pensi di averlo fatto. Dichiara semplicemente che hai ricevuto l'e-mail sospetta, e appare che proviene dal loro dominio. Lascia che si rendano conto se effettivamente lo ha fatto, e a quale livello (se esiste) i loro account / sistemi sono effettivamente compromessi.

    
risposta data 20.07.2016 - 17:26
fonte
12

I'd like to let the agencies involved know that they have compromised accounts

Probabilmente non è vero.

L'email non crittografata e non firmata non è un sistema sicuro; è basato sui dati forniti dal client di posta. Si presume che i dati siano accurati. Questo design consente a un utente malintenzionato di falsificare i dati dell'intestazione (in questo caso l'intestazione From ) e il client di posta elettronica del destinatario presumerà che i dati siano autorevoli.

Pertanto, è meno probabile che le agenzie abbiano account compromessi e più probabilmente che la persona che ha inviato quelle e-mail di phishing abbia impostato l'intestazione From a un indirizzo di posta governativo e sperato che il destinatario fosse abbastanza credulone da crederci.

    
risposta data 20.07.2016 - 17:13
fonte
5

Sebbene l'intestazione From: in una e-mail possa essere falsificata, a seconda delle impostazioni di sicurezza del proprio client di posta, le intestazioni spoofed in genere entrano nella cartella della posta indesiderata o non vengono ricevute affatto.

A seconda del tuo server di posta, puoi anche controllare da quale server proviene l'e-mail. La convalida di SPF funziona controllando ciò con i record del dominio e, se non viene trovata alcuna corrispondenza, verrà inserita nella cartella della posta indesiderata.

Anche le organizzazioni governative utilizzerebbero probabilmente la convalida DKIM per il loro server di posta elettronica (sebbene estremamente improbabile sia S / MIME o PGP.) Se nell'e-mail è presente un'intestazione DKIM valida, è quasi sicuramente originata dalla corretta mail server, il che significa che l'e-mailer dello spam ha ottenuto le credenziali degli utenti originali in qualche modo, ma potrebbe comunque aver compromesso l'account senza entrare nel computer delle vittime.

A seconda della gravità dell'attacco, credo che lo staff di sicurezza dell'organizzazione vorrebbe sapere della violazione, ma solo se ce ne fosse effettivamente uno. Come altri hanno già detto, potrebbe essere solo un'intestazione falsificata, ma ci sono modi per verificare queste cose a seconda della configurazione dei server di origine.

    
risposta data 21.07.2016 - 03:07
fonte
-1

Se vuoi essere un crociato di posta elettronica, salva l'email, inoltrala all'indirizzo dell'agenzia e all'indirizzo principale e lasciali andare dopo il phisher. Con l'e-mail ci sono informazioni sufficienti per capire da dove è stato inviato e possono chiudere quel servizio, se ne hanno il controllo. Altrimenti, possono reclamare il paese d'origine e vedere se hanno leggi per aiutare.

    
risposta data 22.07.2016 - 17:30
fonte

Leggi altre domande sui tag