Un mio utente ha appena ricevuto un'e-mail di phishing che dichiara di essere l'IRS. Quali metodi di segnalazione sono disponibili e cosa dovrebbe essere incluso?
Un mio utente ha appena ricevuto un'e-mail di phishing che dichiara di essere l'IRS. Quali metodi di segnalazione sono disponibili e cosa dovrebbe essere incluso?
Molto spesso, questi tipi di e-mail vengono inviati da host compromessi, account di spammer a provider di posta web gratuiti o reti di spamming dedicate (questo è chiamato spam con le ciaspole ). In entrambi i casi, le parti più appropriate dovrebbero essere, e dovrebbero apprezzare, essere contattate poiché rappresentano una minaccia sulla loro rete. La segnalazione può essere complicata, tuttavia, poiché non è sempre ovvio dove è arrivato il messaggio. Le prime due cose che puoi fare sono inviare un'e-mail con un RFC5322 allegato di l'email, con intestazioni complete, a
Variazioni di cui sopra che segnalano inoltre la posta segnalata come phishing:
Il primo indirizzo è utilizzato da Cisco per ricevere segnalazioni di spam mancato nelle loro soluzioni anti-spam IronPort. Monitorano questa casella di posta e sviluppano le firme per lo spam segnalato. Quindi, alla fine, il phishing specifico che hai ricevuto dovrebbe essere catturato dai loro filtri spam.
Il secondo indirizzo è KnujOn ("No Junk" scritto al contrario), un gruppo non profit che raccoglie il dominio dello spammer dati e segue la pista dei soldi nel tentativo di distruggere effettivamente registrar di domini che sono troppo spammer-friendly.
Il L'indirizzo UCE è utilizzato dagli Stati Uniti Federal Trade Commission per costruire indagini e casi contro spammer. Ancora una volta, data la natura estremamente difficile dell'esecuzione di tali indagini, non si dovrebbero aspettarsi risultati dall'invio di messaggi qui. Tuttavia, dato lo sforzo richiesto, e il fatto che potrebbe essere utile per andare dietro a spammer / phisher, mi sembra un'azione utile.
L'azione più immediatamente utile è contattare i responsabili della fonte dello spam. Possiamo usare queste informazioni per localizzare computer o account compromessi, aprire relè di posta elettronica, ecc. E rispondere in natura. Determinare esattamente dove inviare queste informazioni può essere fastidioso. Se la tua organizzazione ha un ufficio per la sicurezza delle informazioni, puoi ricorrere all'invio di tale email a loro per l'elaborazione. Altrimenti, attraversa le intestazioni Received:
per determinare da quale server di posta ha origine il messaggio; il più recente di loro che è al di fuori del controllo della tua organizzazione è il colpevole. (Do non si assume che l'intestazione From:
sia valida.)
Da quell'indirizzo IP o dominio puoi guardare attraverso i registrar per determinare i contatti tecnici e inoltrare loro il messaggio. Se hai un dominio, puoi anche tentare di usare l'abuso @. Tale indirizzo è stato parzialmente formalizzato in RFC2142 , ma è certamente in comune utilizzare.
In tutti i casi, è davvero necessario inoltrare l'e-mail con intestazione completa intatta. Le specifiche di come si fa ciò dipenderanno pesantemente dallo specifico client di posta, ma Forward As Attachment
dovrebbe funzionare in quasi tutti i casi (eccetto Microsoft Outlook per Windows).
Per quanto ne so, puoi segnalare lo spam alla loro e-mail e / o al tuo provider internet (se è noto). So che Yahoo, DaddyGo ecc. Hanno persino moduli speciali per la segnalazione di spam (prova il provider di posta elettronica di google e + "rapporto spam", ad es. + Yahoo + "rapporto spam")
Per indicazioni generali su come scrivere e-mail di reclamo al provider sullo spam spam.abuse.net .
Per il pshising, mi piacerebbe sicuramente anche l'organizzazione / sito / qualunque cosa venga usata in attacco.
Leggi altre domande sui tag email spam disclosure