Qual è il vettore di attacco previsto per questa email?

8

Ho ricevuto questa email nella mia casella di posta:

Sembraabbastanzainnocuoelafontedelmessaggiotendeaconfermarequesto:

Return-Path:<[email protected]>X-Original-To:[email protected]:[email protected]:byquickmediasolutions.com(Postfix,fromuserid117)id1DBEB3F466;Fri,17Mar201701:32:56+0000(UTC)X-Spam-Checker-Version:SpamAssassin3.4.1(2015-04-28)onmail.quickmediasolutions.comX-Spam-Level:***X-Spam-Status:No,score=3.7required=5.0tests=BAYES_60,RCVD_IN_BRBL_LASTEXT,RDNS_NONE,SPF_HELO_PASS,SPF_PASSautolearn=noautolearn_force=noversion=3.4.1Received-SPF:Pass(senderSPFauthorized)identity=mailfrom;client-ip=201.197.252.218;helo=retinaljessicandis.info;[email protected];[email protected]:fromretinaljessicandis.info(unknown[201.197.252.218])byquickmediasolutions.com(Postfix)withESMTPid44D3B3F303for<[email protected]>;Fri,17Mar201701:32:53+0000(UTC)Message-ID:<[email protected]>Date:Fri,17Mar201702:32:58+0100From:"Nina" <[email protected]>
X-Accept-Language: en-us
MIME-Version: 1.0
To: <[email protected]>
Subject: Hi
Content-Type: text/plain;
    charset="us-ascii"
Content-Transfer-Encoding: 7bit

Good luck :)

Sulla base delle informazioni mostrate sopra, sono giunto alle seguenti conclusioni:

  • Il test SPF è passato, confermando che l'indirizzo IP dal quale il mio mailserver ha ricevuto il messaggio da è autorizzato ad inviare e-mail per quel dominio.

  • Il messaggio non sembra contenere malware - nessun JavaScript (non è nemmeno un messaggio multipart) e nessun allegato di alcun tipo.

  • Il messaggio non contiene collegamenti o URL.

Mi manca un vettore di attacco qui? È un tentativo di phishing? Se è così, che cosa dovrei essere indotto a fare?

    
posta Nathan Osman 23.03.2017 - 05:42
fonte

5 risposte

10

Tale domanda richiede semplicemente opinioni in quanto solo il mittente conosce veramente le proprie intenzioni, le altre persone possono solo indovinare.

Suppongo che nella tua domanda tu abbia mantenuto il vero indirizzo email: [email protected] . È interessante e può essere diviso in due parti:

  • admin : questa è una parola comune che appare in cima alla maggior parte degli elenchi di nomi utente e frequentemente utilizzata per gli indirizzi email. Non solo questo nome utente è comune, ma a volte è collegato a una mailing list indirizzata a più umani contemporaneamente (quante possibilità di aprire un payload malevolo), questo è solo un bonus e gli utenti con privilegi amministrativi su qualunque cosa stiano utilizzando, questa è la ciliegina sulla torta.
  • quickmediasolutions.com : questo è solo un nome di dominio funzionante, sono molti modi per ottenere grandi elenchi di nomi di dominio funzionanti.

Per me, ma questa è la mia ipotesi personale, l'autore dell'attacco sta inviando la stessa e-mail innocua a admin@<domain> (almeno, mi aspetto che anche altri nomi come webmaster siano indirizzati) alla più ampia gamma di nomi di dominio possibile. L'uso di una e-mail così innocua è il modo più sicuro per evitare che i filtri antispam possano alterare i risultati in qualsiasi modo.

Da lì tutti i domini provati saranno in una di queste categorie:

  • Coloro che hanno rifiutato l'e-mail con un messaggio SMTP 550 Invalid Recipient , molto probabilmente saranno omessi perché non sono a basso impatto.
  • Coloro che hanno accettato l'e-mail, guadagneranno il loro biglietto per il prossimo passo nell'agenda dell'aggressore.

Cosa contiene questo passaggio successivo? Anche in questo caso, solo l'attaccante (o le persone che lo assumono) potrebbero saperlo. Forse l'obiettivo è solo quello di costituire un elenco e venderlo, forse l'obiettivo è quello di utilizzare direttamente questo elenco e provare a inviare alcuni payload dannosi, forse entrambi ...

Ad ogni modo, l'idea è che tali e-mail probabilmente non sono pensate per trasportare alcun carico malevolo da solo, ma è solo una ricerca a basso costo per ordinare obiettivi su larga scala.

    
risposta data 23.03.2017 - 16:52
fonte
3

Posso pensare a 2 possibilità

  1. pesca gli indirizzi e-mail dallo spam (pesca nel vecchio senso)
  2. potenziale attacco spear-phishing, che inizia in modo innocuo, seguito da un attaccamento malizioso

in entrambi i casi, meglio ignorare

    
risposta data 23.03.2017 - 15:02
fonte
3

Una possibilità è che questo è solo un modo per indurti a rispondere e poi ti truffa più tardi.

Gli ingegneri sociali pregano su cose come la naturale curiosità umana.

L'utilizzo di un metodo come questo ha l'ulteriore vantaggio di essere solo le persone che hanno più probabilità di essere tentate e quindi più probabilità di essere truffate che in realtà rispondono all'email in primo luogo.

Simile alla metodologia auto-selezionata utilizzata dai fornitori delle truffe del principe nigeriano.

La metodologia di selezione automatica è descritta in questo documento Microsoft del 2012

    
risposta data 23.03.2017 - 17:20
fonte
2

Difficile dire ... Potrebbe essere un'innocente Nina che voleva solo dire buona fortuna a un suo amico e semplicemente usare un indirizzo sbagliato. O una non così innocente Nina che per ragioni private vorrebbe sapere di più su di te (sei single? ;-)).

Ma più probabilmente è una mail dall'aspetto innocente che tenta di convalidare un elenco di indirizzi e-mail e identificare quali potrebbero ottenere una risposta quando il carico utile non sarà così innocente. O prova a identificare quale tipo di posta sarà in grado di passare attraverso i filtri SPAM e malware.

IMHO, non dovresti rispondere a una tale mail, a meno che tu non possa indovinare chi è Nina.

    
risposta data 23.03.2017 - 09:55
fonte
2

Probabilmente solo un tentativo di convalidare gli indirizzi email. Se non ottengono un rimbalzo, l'email è valida.

    
risposta data 23.03.2017 - 17:27
fonte

Leggi altre domande sui tag