Répondre à un e-mail potentiellement falsifié
Un collègue a reçu un e-mail non sollicité du type ci-dessous:
Chère Mme Smith
veuillez cliquer sur le lien suivant pour recevoir le document X concernant le projet Y.
Le tiens,
Eve Nobody
[email protected]
J'ai suggéré à mon collègue de répondre à Eve Nobody et de lui demander si l'e-mail est légitime. Notez que nous avons tapé l'adresse d'Eve Nobody, car on pourrait altérer l'en-tête de réponse.
Je suppose trois scénarios possibles:
- Eve Personne n'existe et elle a envoyé l'e-mail
- Eve Personne n'existe, mais elle n'a pas envoyé le mail
- Eve Nobody n'existe pas et le serveur de messagerie de company.com vous répondra avec un message d'erreur
Dans tous les scénarios possibles, nous n'interagissons qu'avec company.com, et non avec un spoofer potentiel. Ainsi, je considère cette ligne de conduite comme sûre.
Mon conseil était-il judicieux ou y a-t-il d'autres aspects à considérer?
Pour le contexte:
- Nous sommes une entreprise qui effectue des recherches avec les universités et l'industrie, c'est pourquoi nous avons beaucoup d'informations sur nos projets en cours ainsi que sur les chercheurs correspondants. Ainsi, les informations contenues dans l'e-mail initial (un titre raisonnable pour le Document X et le titre du Projet Y) peuvent être rassemblées à partir de notre page d'accueil.
- company.com est une entreprise légitime et participe à certaines de nos recherches.
Réponses
Vous vous concentrez sur la personne existante et non sur le compte. Considérez qu'Eve existe, n'a pas envoyé l'e-mail, mais qu'une personne ayant accès à son compte l'a fait, et a entré une règle d'e-mail pour empêcher vos e-mails d'atteindre la boîte de réception. Vous pourriez avoir une conversation avec ce compte mais pas avec Eve elle-même.
J'ajouterais donc:
- Le compte existe, l'e-mail a été envoyé depuis le compte, mais Eve n'a pas envoyé l'e-mail (compte compromis)
- Le compte existe, l'e-mail a été envoyé depuis le compte, mais Eve n'existe pas (compte factice)
Dans les deux cas, si vous répondez, vous pourriez être en train de répondre avec l'acteur malveillant et non avec Eve.
La meilleure réponse est de contacter Eve par d'autres moyens que le courrier électronique (appel, autres coordonnées, etc.)
Si vous ne connaissez pas Eve, je ne vois aucune raison de faire un suivi.
Si vous faites affaire avec l'entreprise qu'elle prétend représenter, vous pouvez contacter un contact régulier que vous utilisez dans cette entreprise. N'essayez pas d'engager ce compte directement car ce n'est peut-être pas ce qu'il semble (par exemple, un compte compromis ou une astuce d'usurpation qui trompe votre client de messagerie).
Vous pouvez également vérifier le DMARC , le SPF et / ou le DKIM sur le message pour voir s'il est légitime. Tout d'abord, vérifiez que le domaine De est correct. Recherchez ensuite un en- Authentication-Resultstête dans le message. Ne lui faites confiance que s'il est entouré d'en-têtes ajoutés par votre infrastructure de messagerie (les systèmes que votre entreprise utilise pour recevoir votre courrier). Il vous dira ce que DMARC, SPF et DKIM ont réussi. Vous recherchez un alignement DMARC (un en-tête DKIM dont la d=valeur correspond au Fromdomaine de l'en- tête ou une approbation SPF, ce qui signifie trouver l'enregistrement SPF pour le Fromdomaine et vérifier que l'adresse IP du système se connectant à votre enregistrement MX est approuvée). Il existe des outils tels que G Suite Toolbox Messageheader qui peuvent le rechercher pour vous (mais ce sera centré sur Google). Si SPF ou DKIM réussit l'alignement, le message est probablement légitimement envoyé par l'infrastructure de ce domaine (mais vous ne savez pas s'il a été envoyé par un compte compromis).
Il y a longtemps, alors que je n'avais plus de pantalon court et que je travaillais pour mon premier poste en tant qu'administrateur système, j'ai répondu à un courrier indésirable en leur demandant de cesser de me spammer.
Il s'est avéré que l'adresse FROM était en fait la liste de distribution de spam et des milliers de personnes ont reçu un e-mail de ma part leur demandant de ne plus m'envoyer de spam. Ils m'ont ensuite renvoyé un e-mail pour me dire qu'ils n'envoyaient pas de spam - comment pourrais-je penser une telle chose.
Depuis, je les transmets simplement à mes filtres bayésiens.