SPAM Email Analysis

8

Quali sono i passi che dovresti seguire per identificare in un'email un tentativo di SPAM / SCAM / Phishing? La ragione per cui sto facendo questa domanda è che a volte le e-mail spazzatura molto ben fatte riescono a bypassare gli strumenti automatici AntiSpam, quindi sono necessarie ulteriori indagini.

Di solito riesame la reputazione IP del mittente utilizzando il controllo della lista nera MXToolbox . Io uso anche VirusTotal per analizzare allegati / URL per malware. Mi stavo chiedendo se qualcun altro ha altri passaggi o strumenti online per aiutare in questo spazio.

    
posta lisa17 24.12.2013 - 16:08
fonte

3 risposte

4

Come regola generale, se sembra spam allora è spam. Gli strumenti automatizzati possono essere sconfitti, ma un cervello umano (il mio, in questo caso) è più difficile. Il software antispam è utile per eliminare automaticamente la maggior parte degli spam, riducendo il problema a una dimensione in cui il filtraggio umano è tollerabile. In effetti è relativamente facile identificare lo spam pericoloso perché per essere pericoloso, lo spam deve avere un qualche aggancio: un link cliccabile a un dominio dall'aspetto funky, un file eseguibile allegato (o archivio Zip contenente un eseguibile) ... Gli spam ambigui sono quindi gli spam (o non spam) che sono per lo più innocui.

Per esempio una volta ho ricevuto uno spam il cui corpo completo era puro testo (nessuna versione HTML, nessun file allegato, solo testo ASCII) e consisteva in una sola parola: "Theravada". Questo è il nome di un ramo del buddismo quindi l'unico effetto potenziale di quello spam potrebbe essere stato quello di aiutarmi a raggiungere l'illuminazione, che non categorizzo come pericoloso.

Il problema, qui, è che il filtraggio delle e-mail richiede un cervello che sia ben consapevole di come, tecnicamente, una determinata e-mail possa danneggiare una macchina, quindi funziona solo per me o per qualsiasi altro specialista di InfoSec, non per utenti generici. (Inoltre, non leggere le e-mail mentre si è ubriachi). Ciò sottolinea anche il fatto che i filtri antispam non sono mai assoluti, soprattutto perché si basano sull'euristica a cui gli spammer si adattano continuamente; al meglio , le buone regole contribuiranno a ridurre la quantità di spam ai totali gestibili dall'uomo.

In un sito generico, un compromesso praticabile potrebbe essere il seguente:

  • Utilizza strumenti "normali" come SpamAssassin per bloccare il 90% di "ovvi spam".
  • Utilizza le whitelist per inviare automaticamente email provenienti da fonti conosciute. Ciò solleva la questione se una "buona fonte nota" possa essere impersonata; DKIM può aiutarti (ad esempio se un messaggio di posta elettronica è garantito, tramite DKIM, da un determinato server e quel server è stato inserito nella whitelist, quindi lascia passare l'email).
  • Lascia passare le email che sono "ovviamente" innocue. Questo è relativo al livello di preparazione degli utenti; una e-mail ASCII pura può ancora chiedere all'utente di inviare la sua password a [email protected], e se i suoi utenti si innamoreranno di esso, allora nessuna email può essere considerata "ovviamente innocua".
  • Tutte le e-mail rimanenti possono essere accumulate in una zona di quarantena, per essere ispezionate da persone esperte.

L'ispezione umana delle e-mail può avere implicazioni legali in merito all'aspettativa di riservatezza delle comunicazioni; anche in un contesto aziendale è necessario accertarsi che tutte le politiche e le clausole contrattuali pertinenti siano "legalmente pulite".

Ci sono molte aziende là fuori che vendono e / o gestiscono sistemi anti-spam, quindi possiamo dedurre che sconfiggere completamente lo spam non è probabilmente una cosa facile da fare.

    
risposta data 24.12.2013 - 16:41
fonte
3

MXToolbox e Virustotal sono strumenti molto validi, secondo me. Tieni presente che un account e-mail compromesso che invia ad una velocità "bassa e lenta" potrebbe evitare di mettere in blacklist per un po 'di tempo. Virustotal può ancora perdere malware zero-day, ma sono d'accordo sul fatto che probabilmente non c'è niente di meglio.

Tuttavia, il rilevamento umano di e-mail indesiderate o dannose è facile (presumendo che tu abbia un umano intelligente!). Ricorda che l'uso di strumenti è per aiutare la valutazione umana delle e-mail - se un essere umano pensa che una e-mail sia spam, ma un'app pensa che sia legittima, la valutazione umana dovrebbe prevalere.

  • Spam di solito è immediatamente evidente perché sta vendendo qualcosa, ed è la categoria catch-all per e-mail indesiderate che non ha allegati o collegamenti ipertestuali. Inoltre, lo spam è molto negli occhi di chi guarda: molti utenti accetteranno una newsletter da un negozio online legittimo, ma considerano le mailout come "spam".

  • Il phishing è facile da definire: il mittente sta fingendo di essere qualcun altro e fornisce un link di "accesso qui per fare qualcosa" nell'e-mail. In caso di dubbi, contattare il (presunto) mittente con un metodo alternativo e verificare! È possibile ottenere falsi positivi se il mittente utilizza un servizio di marketing, anche se la maggior parte dei fornitori legittimi avrà intestazioni informative + opt-out in ogni email.

Le Scam tendono a seguire schemi stabiliti e in realtà ci sono solo pochi indicatori da ricordare:

  • Ti viene chiesto di inviare denaro (truffa alla Lotteria / Sono stato derubato all'estero / Aiutami con questo trasferimento e ottieni una commissione / ecc.). Questo è di gran lunga il tipo più comune di truffa.
  • Ti viene chiesto di rivelare informazioni personali come nomi, indirizzi, nomi utente e password (Facilita lo spear phishing o il furto di identità)
risposta data 24.12.2013 - 16:50
fonte
2

Le migliori informazioni disponibili sono per lo più al di fuori della stessa email:

  • L'email viene inviata da un server che non è un server legittimo per il mittente dell'e-mail, oppure viene inviato da una macchina che sembra essere su una rete dinamica come un hotspot o una connessione remota.
  • L'email viene inviata da un server che è stato fonte di spam in passato.
  • L'email viene inviata da un server che non è particolarmente conforme agli RFC SMTP pertinenti. Il grayling sfrutta questo problema restituendo errori temporanei e aspettando che i veri server di posta siano in coda e riconsegnati. Un'altra tecnica consiste nell'inserire un ritardo nell'handshaking iniziale per rilevare le fonti che stavano inviando uno script di comandi SMTP senza interagire effettivamente con il server.
  • L'email viene inviata a il server sbagliato per il destinatario. I record MX secondari spesso puntano a macchine che accodano semplicemente la posta elettronica e non dispongono delle informazioni necessarie per classificare lo spam o i cattivi destinatari. I mittenti di spam si approfittano di questo evitando il record MX primario (ben configurato), anche quando è disponibile.
  • L'email viene inviata a molti destinatari. I grandi servizi di posta elettronica come Google hanno un vantaggio nel rilevamento dello spam perché possono vedere quando un messaggio viene inviato a molte persone che altrimenti non tendono a ricevere lo stesso messaggio.
  • L'email contiene URL che fanno riferimento a siti che ospitano malware o frodi di phishing.
risposta data 24.12.2013 - 22:52
fonte

Leggi altre domande sui tag