Analisi del phishing

1

Attualmente sto analizzando ed esplorando i tentativi di phishing giornalieri. Alcuni a punti, non sono in grado di verificare definitivamente se si tratta, in realtà, di un tentativo di phishing.

Quando si analizzano i tentativi di phishing, in particolare lo spear phishing, si è mai sentito il bisogno di una macchina di analisi isolata in cui è possibile fare clic sui collegamenti per il tempo libero e scaricare le PUA?

Il processo che ho subito è essenzialmente:

  1. controlla le intestazioni end-to-end,
  2. se sembra legittimo passare a scanner di URL come Virus Total & Controllo URL di Symantec ecc.
  3. se questo si verifica, supponiamo che non sia mai stato scansionato o scansionato e cerchi di capire perché l'utente finale ha segnalato questo come phishing, ecc.

Al di là dei tipici tentativi di phishing confermati al 100% in cui un utente utilizza grammatica scadente, URL abbreviati, estensioni URL abbozzati o allegati imprecisi, a che punto si dovrebbe smettere di dedicare tempo e fatica all'analisi di un tentativo di phishing?

Capisco che questa domanda possa influenzare un'opinione, tuttavia vorrei indirizzare le risposte verso il tentativo di evitare falsi negativi. Quando abbiamo un'email legittima, ma le cose non possono essere confermate e le etichettiamo come phishing.

È più sicuro attenersi sempre alla "non fidarsi di nessuna politica"?

    
posta Mr.J 02.03.2018 - 02:59
fonte

1 risposta

1

Sono preoccupato che tu sembri avere solo 2 categorie:

  • confermato legittimo
  • phishing

Hai bisogno di almeno una terza categoria: "sconosciuto".

Inoltre non descrivi come definisci "phishing" ma sembra che tu abbia una definizione molto ampia. Il phishing è ancora un termine molto tecnico con marcatori specifici. Potresti prendere in considerazione l'utilizzo della categoria "social engineering" per evitare di bloccare l'analisi in un modello non utile.

Per esempio, che dire del primo di una serie di email per impegnarsi in una relazione con un destinatario? L'email può provenire da una fonte legittima e non avere allegati o link, solo un semplice inizio per una conversazione apparentemente benigna. Il vero "phishing" avviene più tardi. Come analizzi quella prima email? Come lo classifichi? L'analisi può risultare pulita, ma non è possibile decidere se si tratta di phishing (ancora) o di comunicazioni commerciali legittime. Deve rientrare in una terza categoria per consentire la comunicazione ma per avvisare gli utenti di rimanere in guardia.

Questa categoria "sconosciuta" ti dà la libertà di concludere l'analisi senza perdere tempo a cercare di confermare qualcosa che non può mai essere confermato e taggando l'e-mail in questo modo informa ancora l'utente che lo ha segnalato. Questo è diverso da "non fidarsi di nessuno", ma piuttosto "mantenere sani livelli di sospetto fino a quando la fiducia è garantita", che è un messaggio molto più utile per gli utenti ed evita falsi negativi.

    
risposta data 02.03.2018 - 11:37
fonte

Leggi altre domande sui tag