Rispondi a email potenzialmente contraffatte
Un collega ha ricevuto un'e-mail non richiesta secondo le linee seguenti:
Cara signora Smith
fare clic sul seguente collegamento per ricevere il documento X relativo al progetto Y.
Il tuo,
Eve Nobody
[email protected]
Ho suggerito al mio collega di rispondere a Eve Nobody e chiedere se l'email è legittima. Nota che abbiamo digitato l'indirizzo di Eve Nobody, poiché si potrebbe manomettere l'intestazione di risposta.
Presumo tre possibili scenari:
- Eve Nessuno esiste e ha mandato l'email
- Eve Nessuno esiste, ma non ha inviato l'email
- Eve Nobody non esiste e il server di posta di company.com risponderà con un messaggio di errore
In tutti i possibili scenari, interagiamo solo con company.com e non con alcun potenziale spoofer. Pertanto, considero questa linea di condotta sicura.
Il mio consiglio è stato valido o ci sono altri aspetti da considerare?
Per contesto:
- Siamo un'azienda che fa ricerche con il mondo accademico e industriale, quindi abbiamo molte informazioni sui nostri progetti in corso insieme ai ricercatori corrispondenti. Pertanto, le informazioni contenute nell'email iniziale (un titolo ragionevole per il documento X e il titolo del progetto Y) possono essere raccolte dalla nostra homepage.
- company.com è una società legittima ed è coinvolta in alcune nostre ricerche.
Risposte
Sei concentrato sulla persona esistente e non sull'account. Considera che Eve esiste, non ha inviato l'email, ma qualcuno con accesso al suo account lo ha fatto e ha inserito una regola email per impedire che le tue email raggiungano la posta in arrivo. Potresti continuare una conversazione con quell'account, ma non con Eve stessa.
Quindi aggiungerei:
- L'account esiste, l'email è stata inviata dall'account, ma Eve non ha inviato l'email (account compromesso)
- L'account esiste, l'email è stata inviata dall'account, ma Eve non esiste (account fittizio)
In entrambi i casi, se rispondi, potresti rispondere con l'attore malintenzionato e non con Eva.
La risposta migliore è contattare Eve tramite mezzi diversi dall'e-mail (chiamata, altre informazioni di contatto, ecc.)
Se non conosci Eve, non vedo motivo per continuare.
Se fai affari con la società che afferma di rappresentare, puoi contattare un contatto regolare che utilizzi in tale attività. Non provare a coinvolgere direttamente quell'account perché potrebbe non essere ciò che sembra (ad esempio un account compromesso o un trucco di spoofing che inganna il tuo client di posta).
Puoi anche controllare DMARC , SPF e / o DKIM sul messaggio per vedere se è legittimo. Innanzitutto, verifica che il dominio Da sia corretto. Quindi cerca Authentication-Resultsun'intestazione nel messaggio. Considera attendibile solo se è circondato da intestazioni aggiunte dalla tua infrastruttura di posta elettronica (i sistemi che la tua azienda utilizza per ricevere la posta). Ti dirà cosa sono passati DMARC, SPF e DKIM. Stai cercando l' allineamento DMARC (un'intestazione DKIM il cui d=valore corrisponde al Fromdominio dell'intestazione o un'approvazione SPF, il che significa trovare il record SPF per il Fromdominio e verificare che l'IP del sistema che si connette al tuo record MX sia approvato). Esistono strumenti come G Suite Toolbox Messageheader che possono cercarlo per te (ma sarà incentrato su Google). Se SPF o DKIM passano con l'allineamento, il messaggio è probabilmente inviato legittimamente dall'infrastruttura di quel dominio (ma non sai se è stato inviato da un account compromesso).
Molto tempo fa, quando ero appena uscito dai pantaloni corti e lavoravo al mio primo incarico come amministratore di sistema, ho risposto a un'e-mail di spam chiedendo loro di smetterla con me.
Si è scoperto che l'indirizzo FROM era in realtà la lista di distribuzione dello spam e migliaia di persone hanno ricevuto un'e-mail da me chiedendo loro di smettere di inviarmi spam. Poi mi hanno rispedito via email per dirmi che non stavano inviando spam - come potevo pensare una cosa del genere.
Da allora li passo semplicemente ai miei filtri bayesiani.