Esiste un modo definitivo per stabilire se un'email è un tentativo di phishing? Quali segnali dovrebbe utilizzare l'utente del "computer medio" per rilevare un'e-mail di phishing?
Esiste un modo definitivo per stabilire se un'email è un tentativo di phishing? Quali segnali dovrebbe utilizzare l'utente del "computer medio" per rilevare un'e-mail di phishing?
Esistono diversi modi sia tecnici che non tecnici con cui qualcuno può identificare un tentativo di phishing.
Comunicare fuori banda. Il più semplice modo affidabile è comunicare con il mittente proposto fuori banda. Chiamali, invia loro un'app che cosa è se applicabile, segnale, qualunque cosa. Se un'organizzazione o un individuo non ti ha inviato un'e-mail, possono dirtelo al telefono. Ricorda solo di utilizzare un numero di telefono non incluso nell'email.
Correzione di bozze : gran parte dello spam, anche molto spear phishing, è scritto molto male. Le frasi mal costruite e gli errori di ortografia sono indicatori abbastanza buoni di spam.
Passaggio del mouse sui link : i link di phishing sono generalmente "offuscati" per sembrare collegamento a una pagina di accesso. Ad esempio, il testo potrebbe essere https://login.facebook.com, ma quando passi il mouse sul link noti che è un nome di dominio lungo e dettagliato. Phishing rivelatore.
EDIT: Come hanno sottolineato Mehrdad e Bacon Brad, questo metodo può fornire risultati contrastanti. I collegamenti possono essere utilizzati in una varietà di attacchi come gli attacchi CSRF / XSS e il collegamento fornito può anche portare a una terza parte autorizzata.
Intestazioni e-mail - Forse uno dei modi più tecnologici per capire se un'e-mail è legittima o meno è guardare le intestazioni delle e-mail. Le e-mail contengono metadati che indicano da dove provengono le e-mail. Di solito puoi capire guardando l'intestazione dell'e-mail se un'e-mail proviene da una fonte autenticata con queste intestazioni. Tieni presente che questo non è infallibile in quanto molte organizzazioni potrebbero esternalizzare le campagne di posta, ma le email provenienti da un indirizzo IP privato potrebbero indicare un'email di phishing.
Macro : la parola documento che ti è stato appena inviato indica che devi abilitare le macro per visualizzare il documento? Non farlo.
Ingegneria sociale : molte tattiche di posta elettronica di phishing giocheranno le emozioni umane e impiegheranno molte note tecniche di ingegneria sociale. Dichiarazioni come "Devi fare clic su questo link e riattivare il tuo conto bancario entro 24 ore o il tuo account verrà chiuso" hanno lo scopo di far prendere dal panico il destinatario. Quando siamo presi dal panico prendiamo decisioni illogiche. Se ritieni che un'email stia giocando sulle tue emozioni, potresti essere oggetto di phishing.
È un comportamento normale? - Le istituzioni sono esperte nei metodi di phishing e in quanto tali non ti chiederanno di fare clic sui collegamenti incorporati in un'e-mail per "reimpostare la password" o "confermare il tuo account". Se il tuo senso di spide è formicolio, probabilmente phishing.
Nella mia esperienza non esiste un proiettile d'argento nella gestione del phishing. Durante i test di penetrazione lo spear phishing funziona sempre . Le informazioni di cui sopra ti aiuteranno a individuare i tentativi di phishing, ma il modo più semplice ed efficiente per confermare o negare un tentativo di phishing è chiamare il "mittente" per confermare se è legittimo.
Ti chiede di fare qualcosa che non dovresti fare senza autenticare l'identità della parte che ti chiede di farlo? (Tieni presente che "inserire una password" è un'azione di questo tipo!) In tal caso, puoi trattarla efficacemente come phishing indipendentemente dalle motivazioni del mittente, poiché l'email non è autenticata e quindi non è un mezzo adatto per richiesta di un'azione privilegiata.
Non esiste un modo perfetto per identificare le email di phishing, nel senso di una procedura che ti dice sempre con successo, per qualsiasi email, chi l'ha inviata e perché. In pratica, la stragrande maggioranza delle e-mail di phishing effettive è abbastanza facilmente identificabile come tale, perché sono per lo più abbastanza insulse. Alcuni di loro non arrivano nemmeno alla tua casella di posta, perché sono così palesemente falsi che persino il filtro del tuo provider di posta elettronica li ha individuati. Ma non esiste un insieme "definitivo" di funzionalità dell'email che sia possibile controllare ogni volta.
Invece di cercare di determinare se le email sono tentativi di phishing, dovresti evitare di intraprendere qualsiasi azione che si basa per la sua correttezza sul fatto che l'email che hai ricevuto sia o meno un tentativo di phishing . In questo modo non devi essere in grado di capire la differenza.
Ad esempio, anche se l'email che hai appena ricevuto proviene realmente dalla tua banca, non fare clic sui link al suo interno e quindi digita i tuoi dati di accesso. Vai invece al sito della tua banca digitando un URL che ricordi o utilizzando un segnalibro. Quindi accedi e cerca un modo per navigare dove l'email ti ha detto di andare. Come ultima risorsa, poiché il sito della tua banca è pessimo, dopo aver effettuato l'accesso potresti utilizzare il link nell'email ma non accedere di nuovo alla sua destinazione o fornire altre informazioni sensibili. Ma fai attenzione che ci sono attacchi diversi dal phishing , a cui potresti esporti semplicemente visitando una pagina dannosa e senza fornire alcuna informazione sensibile.
Funziona per i soliti tentativi di phishing di finanza / acquisti. Purtroppo ci sono casi in cui non è pratico. Supponiamo che uno spear-phisher di talento, magari lavorando per il tuo concorrente, esegua gli errori di battitura su un dominio simile al dominio del tuo datore di lavoro e invii un'e-mail che sembra provenire dal tuo capo, utilizzando il suo effettivo piè di pagina, dicendo "quale prezzo stiamo andando citare nel campo di Jenkins? ". Non è realistico che ogni volta che rispondi a un'e-mail aziendale (dozzine di volte al giorno), strizzi gli occhi con attenzione all'indirizzo a cui stai inviando, per assicurarti che sia davvero youremployer.com e non youremp1oyer.com o yourempIoyer. com o (Heaven Forfend) youremploуer.com [*]. Il tuo client di posta elettronica può o meno aiutarti, in termini di indicare visivamente se un indirizzo e-mail è già nella tua rubrica personale o nella directory aziendale.
La differenza è che il tuo datore di lavoro, per qualsiasi motivo, ha deciso che utilizzerà la posta elettronica come mezzo per comunicare informazioni riservate. La tua banca, invece, ha preso una decisione diversa. Il canale appropriato per comunicazioni sensibili verso e dalla tua banca è il loro sito web, o un'app per telefono, o forse per telefono (anche se non fidarti delle chiamate presumibilmente dalla tua banca), o per posta per determinate cose, o di persona. Quindi non fidarti delle email che provengono o sembrano provenire dalla tua banca. Non fidarti nemmeno del collegamento al sito della tua banca. Considera invece un suggerimento per usare un canale di cui ti puoi fidare.
[*] Il primo è facile: cifra 1 per minuscolo L. Il secondo è un po 'più difficile in molti caratteri: maiuscolo I per minuscolo L. Il terzo sostituisce una Y cirillica minuscola con la Y romana minuscola. Se il tuo client di posta lo rende affatto, probabilmente non sarai in grado di distinguere dall'aspetto.
Sebbene molte e-mail di phishing siano ovvie, non esiste un modo preciso per rilevare il phishing più intelligente. E sembra che la quantità di phishing intelligente stia aumentando.
Esistono tecniche che potrebbero aiutare a scoprire se il mittente è quello che sta rivendicando, ovvero firme digitali, DMARC (che include DKIM + SPF) ecc. Ma questi devono essere impiegati sul sito del mittente e verificati sul sito del destinatario - ed entrambi mancano in molti casi o sono (inutilmente) complessi.
Se la posta afferma di provenire da un mittente che già conosci, potresti confrontare le email con quelle che hai ricevuto in precedenza per una varietà di funzionalità, come lo stesso indirizzo email del mittente, lo stesso percorso di trasporto (ricevuto intestazione nella posta), lo stesso client di posta ... Molte di queste funzionalità sono visibili solo nel codice sorgente della posta e molte di queste richiedono competenze per essere estratte e confrontate, quindi gli utenti medi non saranno in grado di farlo (a parte la mancanza di tempo e motivazione nella maggior parte dei casi).
Consiglio di dare un'occhiata a un recente discorso su questo argomento all'ultima conferenza di Blackhat: Ichthyology: Phishing as a Science.
Sì, ci sono modi per aumentare notevolmente il rilevamento. Ma ognuno di loro è battibile dai phisher.
Received:
header - devono semplicemente rompere qualsiasi box ovunque all'interno di Wells Fargo che può accedere a qualsiasi server SMTP ufficiale . Mi dispiace. Non puoi distinguerli. Convincere te stesso che puoi è il modo più sicuro per diventare cieco. Perché per avere successo, devi farlo bene ogni volta . Devono essere fortunati solo una volta.
Farlo bene ogni singola volta non vale la pena quando c'è un'alternativa facile.
Non faccio mai clic sui link nelle e-mail delle banche. Questa è una lunga abitudine. ** Tratto le email della banca solo come un solletico per andare a controllare il mio account in un'altra app , per telefono o semplicemente per entrare.
Ora, telefono ti costringe a un test di realtà: questo messaggio è credibile o abbastanza importante da disturbare un altro essere umano? Ho davvero bisogno che un agente CS mi dica "No, il tuo account non è bloccato, perché dovremmo farlo?"
** in parte, è a causa delle mie piattaforme. Su dispositivo mobile, ho un'app dedicata per la mia banca e non ho motivo di utilizzare la loro interfaccia utente web. Sul desktop, eseguo la mia webmail in FireFox, dove ho disabilitato Javascript, quindi non posso fare clic su un collegamento poiché il sito della banca non funziona: questo mi costringe a cambiare browser e navigare. Potrei copiare / incollare il link di clic se lo desidero , ma davvero non lo faccio. Voglio dire, lo farò per le email di reimpostazione della password, ma me le aspetto.
C'è un modo definitivo per me e non mi ha ingannato per più di 15 anni ricevendo un flusso continuo di crapware. Non sono sicuro che sia adatto a tutti gli utenti senza una formazione minima, ma lo darò poiché è semplice, gratuito e sopravvissuto a molti battesimi del fuoco con ogni nuova tecnologia di phishing.
Ho appena letto il testo completo fonte di intestazioni di qualsiasi e-mail dubbia. Per e-mail dubbia, considero anche qualsiasi e-mail proveniente direttamente da un collega noto inviata dal suo indirizzo professionale non appena poiché vedo una richiesta , devo verificare la sua identità per soddisfare la sua richiesta. Vedi la risposta breve ma sorprendente di R..
Ad esempio, un'e-mail da mia sorella Alice inviata dal suo vero professionista indirizzo chiedendomi di farle un bonifico Western Union al suo indirizzo postale in Nicaragua dove le è stato rubato tutto. Guardando le fonti complete delle intestazioni ho scoperto che il primo indirizzo IP utilizzato era un IP privato (192.168.1.217) e il primo IP pubblico era in Nigeria . Ho anche notato che questa e-mail è stata inviata con il suo account reale autenticato e sono in grado di avvisare il suo CISO che la sua password è stata rubata (tramite un attacco di phishing come al solito).
Con la formazione per leggere queste terribili intestazioni sono in grado di riconoscerle in meno di 15 secondi, senza nemmeno dover controllare la loro posizione IP di origine.
No, non esiste un modo infallibile per identificare le e-mail di phishing.
Se ci fosse, avremmo programmato in questo modo un software e lo avremmo installato su tutti i server di posta e il problema scomparirebbe.
Ci sono lunghi elenchi di indizi - altre risposte fanno un buon lavoro elencandoli - ma il campo cambia sempre e l'elenco non è mai perfetto. Fortunatamente, la maggior parte delle e-mail di phishing sono eseguite da dilettanti e sono banali da individuare con una certa esperienza, perché la maggior parte degli utenti è facile da ingannare e quindi i creatori di e-mail di phishing non devono fare molti sforzi.
Tuttavia, ci sono alcune mail di phishing estremamente ben fatte, specialmente quando si tratta di spear-phishing (cioè mirate a persone, spesso qualificate e istruite in IT). Alcuni studi dieci anni fa (scusate, non ricordo il collegamento) hanno mostrato che persino i professionisti IT sbagliavano messaggi di phishing ben fatti circa il 30% delle volte.
Si noti inoltre che se si espande considerevolmente sforzi per stabilire cosa sta succedendo, il truffatore è già riuscito a farti perdere tempo. Studiare le intestazioni o qualsiasi altro esercizio menzionato è per le persone che non ricevono 200 messaggi ogni giorno.
Oltre alle ottime risposte sopra, qualcos'altro che ti dà un buon indizio è fare clic con il pulsante destro del mouse sui link nella pagina (assicurati di non fare clic con il pulsante sinistro!) e scegliere "Ispeziona elemento" *.
Se questa è un'e-mail falsa, vedrai alcuni indirizzi e-mail senza senso. Quelli che vedo spesso iniziano con "adclick.g.doubleclick.net/". Potresti anche ottenere indirizzi aziendali non pertinenti su quelli che sembrano essere link autentici. **
Anche se sono sicuro che questo sito web è legittimo, se ho un'e-mail che mi dice di utilizzare un link come questo per annullare un ordine, allora si tratta chiaramente di una truffa.
* Potrebbe apparire come un altro nome simile come "Ispeziona", a seconda il browser
** La mancanza di un collegamento sospetto non lo rende un'e-mail autentica. Vedi le altre risposte per ulteriori informazioni da controllare
Se l'email include un collegamento, ci sono alcuni controlli di base che puoi eseguire aprendolo in una finestra di navigazione privata.
Assicurati che la tua finestra di navigazione privata sia il più sicura possibile prima di iniziare. Come minimo, assicurati che il tuo browser sia completamente aggiornato. Potresti anche voler disabilitare Javascript, eseguire il browser in una sandbox come Firejail o persino isolarlo in una macchina virtuale (usando VirtualBox o simili).
Ora apri il link nella finestra di navigazione privata. Una volta caricata la pagina, controlla la barra degli indirizzi. Assicurati che il nome host (nei browser moderni questa parte dell'indirizzo è solitamente più scura del resto) corrisponda al sito che ti aspettavi di raggiungere. La parte più importante del nome host (e la più difficile da impersonare per un utente malintenzionato) è la parte alla fine, dal nome dell'organizzazione in poi. Quindi, se il link che hai nei tuoi segnalibri è www. facebook.com , allora accedi. facebook.com è probabilmente OK, ma www. facebook. example.com o www. facebook.biz non lo è.
Verifica che il sito disponga di un certificato valido: nella maggior parte dei browser moderni è presente un lucchetto verde o vicino alla barra degli indirizzi. Se manca, è rosso, giallo o grigio, probabilmente non dovresti accedere a questo sito, anche se sei in grado di dimostrare che è l'indirizzo corretto.
Successivamente, se la pagina che raggiungi ha un'opzione di accesso, usala, ma con credenziali non funzionanti. Gli attacchi di phishing in genere non tentano di convalidare le credenziali immesse, mentre un sito reale lo farebbe. Se non ti avvisa che le credenziali non erano valide, probabilmente è un attacco di phishing.
E infine, se puoi evitare di utilizzare il link nell'email, fallo. Se hai un link al sito nei tuoi segnalibri o puoi ottenere un indirizzo attendibile in qualche altro modo, accedi utilizzando invece quell'indirizzo.
Potrebbe trattarsi di mera pedanteria, ma no: non esiste un modo definitivo per capire se un'email è un tentativo di phishing.
Supponi che una principessa nigeriana avesse davvero bisogno di assistenza nel trasferimento di ingenti somme di denaro fuori dal paese; supponiamo inoltre che non avesse nessun altro al mondo a cui rivolgersi, e che in effetti fosse ridotta a inviare messaggi di posta elettronica a perfetti sconosciuti. In una situazione del genere, un utente potrebbe ricevere una legittima richiesta di assistenza da una principessa nigeriana, che sarebbe comunque identica a un classico messaggio di phishing.
(Un'applicazione non pedante dell'esempio precedente sarebbe quella di chiediti se sei più infastidito dai falsi positivi o dai falsi negativi, che informeranno quanto rigoroso un filtro implementi.)
Non nella generalità come stai chiedendo. E il problema non sono solo le mail di phishing. Dai un'occhiata ai messaggi di posta provenienti da mittenti legittimi come Twitter, Amazon, PayPal e altri.
Molti di loro usano cattive pratiche. Collegamento di https: // mysite
a https://mysite-mailtracking.com/asdf
, utilizzando HTML complicato nella posta, utilizzando domini diversi come dominio del servizio principale, mittente della posta dominio e domini che menzionano nella posta e inseriscono molte informazioni nelle immagini invece che nel testo.
Quando vuoi testarlo come un esperto che vuole vedere come stanno facendo phishing, un metodo sarebbe " fai clic in un browser protetto, guarda a quale dominio sei reindirizzato e se questo corrisponde al modulo che ottieni quando accedi manualmente e apri il modulo ". Ma non è niente da suggerire a un utente, che si innamora di cose molto più semplici.
Quindi il consiglio ragionevole qui: Ignora qualsiasi cosa nella posta ma che qualcosa è successo e accedi con il tuo browser come fai tutti i giorni. La maggior parte dei servizi ti dirà ciò che la posta voleva che tu sapessi, poiché gli utenti oggi spesso utilizzano il sito web / l'app più spesso di quanto leggano la posta.
Un'azienda di sicurezza professionale di solito può determinare con quasi certezza se un'email è phishing o meno. Potrebbe non essere utile all'utente medio, ma ecco come lo farebbero:
Origine dell'email
Le email contengono una serie di intestazioni che mostrano il Indirizzo IP dei ritrasmettitori di posta. Questi possono essere analizzati per identificare l'indirizzo IP del mittente. Questa dovrebbe essere l'organizzazione legittima. Se si tratta di un nodo di uscita ToR, è altamente sospetto.
Ci sono scenari in cui l'origine è inconcludente, come un provider di posta di terze parti. In tal caso, l'azienda parlerebbe con il provider di posta e con l'organizzazione legittima e normalmente potrebbe risolvere il problema.
Guarderebbe anche l'indirizzo email di origine e forse controllerebbe i registri di posta elettronica in uscita dell'azienda legittima .
Contenuto dell'email
Di solito un'e-mail di phishing ha un collegamento a un sito web che NON è di proprietà dell'organizzazione legittima e richiede i dettagli di accesso. Il dominio potrebbe essere ingannevole (ad es. Mybank-secure.com non ha nulla a che fare con myback.com), essere un sosia (ad es. Una maiuscola mi sembra una l minuscola) o potrebbe utilizzare un attacco come cross-site scripting o sessione fissazione per mostrare il dominio legittimo. Per gestire tutto ciò, la fonte dell'email sarebbe stata analizzata manualmente come testo normale e la proprietà di tutti i domini sarebbe stata esaminata in dettaglio. In alcuni casi potrebbe trattarsi di un'e-mail legittima che utilizza cattive pratiche, ma è comunque meglio non inserire i tuoi dati!
La posta potrebbe contenere anche malware. L'esecuzione di un software antivirus su qualsiasi allegato è un inizio. Ma questo potrebbe essere un malware polimorfico o zero-day che resiste all'antivirus. Invece, l'analisi manuale tenterà di identificare tutto ciò che sembra sospetto. Un documento di Word con una macro onload che crea un oggetto OLE potrebbe non attivare il software antivirus, ma è certamente sospetto.
Ancora una volta, questo non sarà sempre decisivo. Per alcuni tipi di spear phishing, potrebbe essere impossibile distinguere i contenuti legittimi da quelli fraudolenti. Se qualcuno sta vendendo qualcosa e poco prima del pagamento riceve un'e-mail che dice "effettivamente, invia i soldi qui ..." - il contenuto da solo non ti aiuta, devi controllare l'origine.
Non mi è mai stato chiesto di farlo, ma mi aspetto che la maggior parte delle società di medicina legale lo faccia di tanto in tanto. Nelle grandi organizzazioni, a volte i messaggi di posta elettronica in blocco vengono inviati ai clienti senza un'adeguata autorizzazione. Forse un'e-mail di questo tipo è stata segnalata come phishing, quindi l'organizzazione originale deve capire cosa è successo. Se ciò accade, mostra che l'organizzazione ha scarsi controlli sulle email dei clienti, ma non sarà una grande sorpresa.
Consigli anti-phishing
Aggiungi ai preferiti i siti che ti interessano: banca, carta di credito, ecc. Se ricevi un'email da loro, non fare clic su quel collegamento; usa invece il tuo segnalibro. Questa semplice precauzione sconfigge la stragrande maggioranza degli attacchi di phishing.