Ho ricevuto molte domande dagli stakeholder aziendali e ho cercato di risolvere questo problema da solo. Ho un approccio potenziale, ma voglio sfidare le mie ipotesi.
Nella mia mente, dovrebbe essere banale analizzare un'intestazione email per identificare un indirizzo falsificato confrontando i campi:
- alias: "John Smith"
-
from
: [email protected] -
reply-to
: [email protected] o anche, [email protected] -
Received
: un indirizzo generato dal server
Il 100% degli incidenti di phishing che indago, vi è un'evidente mis-match nei 4 campi perché l'attacker ha specificato manualmente almeno uno dei primi 3 campi. Qualsiasi combinazione del dominio aziendale interno o del destinatario con domini esterni è una bandiera. Un alias che assomiglia a un'e-mail che non corrisponde a from
e a reply-to
è un flag.
Ma la complessità arriva quando l'email è:
- parte di una catena
- inoltrato
- inviato a più persone
- inviato da un servizio di gestione della posta
Capire quali messaggi di posta elettronica sono contraffatti può diventare complicato in questi casi, ma nessuna delle suddette condizioni esiste nelle mie indagini. Ad esempio, un tentativo di email o phishing falsificato è sempre stato un contatto iniziale da una singola fonte esterna. I servizi di gestione della posta elettronica sono noti e facili da inserire nella whitelist
Se continua così, non sarebbe banale identificare e allertare su email falsificate? Hai due campi di intestazione da analizzare ( from
e reply-to
), e il loro contenuto è prevedibile e abbastanza semplice da creare una semplice espressione regolare da testare con i campi alias e Received
.
Mi manca un elemento nelle mie ipotesi?