Attualmente sto analizzando ed esplorando i tentativi di phishing giornalieri. Alcuni a punti, non sono in grado di verificare definitivamente se si tratta, in realtà, di un tentativo di phishing.
Quando si analizzano i tentativi di phishing, in particolare lo spear phishing, si è mai sentito il bisogno di una macchina di analisi isolata in cui è possibile fare clic sui collegamenti per il tempo libero e scaricare le PUA?
Il processo che ho subito è essenzialmente:
- controlla le intestazioni end-to-end,
- se sembra legittimo passare a scanner di URL come Virus Total & Controllo URL di Symantec ecc.
- se questo si verifica, supponiamo che non sia mai stato scansionato o scansionato e cerchi di capire perché l'utente finale ha segnalato questo come phishing, ecc.
Al di là dei tipici tentativi di phishing confermati al 100% in cui un utente utilizza grammatica scadente, URL abbreviati, estensioni URL abbozzati o allegati imprecisi, a che punto si dovrebbe smettere di dedicare tempo e fatica all'analisi di un tentativo di phishing?
Capisco che questa domanda possa influenzare un'opinione, tuttavia vorrei indirizzare le risposte verso il tentativo di evitare falsi negativi. Quando abbiamo un'email legittima, ma le cose non possono essere confermate e le etichettiamo come phishing.
È più sicuro attenersi sempre alla "non fidarsi di nessuna politica"?