Trả lời email giả mạo tiềm ẩn
Một đồng nghiệp đã nhận được một email không mong muốn cùng những dòng bên dưới:
Gửi cô Smith
vui lòng nhấp vào liên kết sau để nhận Tài liệu X về Dự án Y.
Của bạn,
Eve Không ai
[email protected]
Tôi đã đề nghị đồng nghiệp của mình trả lời Eve Nobody và hỏi xem email có hợp pháp không. Lưu ý rằng chúng tôi đã nhập địa chỉ của Eve Nobody, vì người ta có thể giả mạo tiêu đề trả lời.
Tôi giả định ba trường hợp có thể xảy ra:
- Eve Không ai tồn tại và cô ấy đã gửi email
- Eve Không ai tồn tại, nhưng cô ấy đã không gửi email
- Eve Nobody không tồn tại và máy chủ email của company.com sẽ trả lời bằng một thông báo lỗi
Trong tất cả các trường hợp có thể xảy ra, chúng tôi chỉ tương tác với company.com, chứ không phải với bất kỳ spoofer tiềm năng nào. Vì vậy, tôi coi hành động này là an toàn.
Lời khuyên của tôi có đúng hay không, hay có những khía cạnh khác cần xem xét?
Đối với ngữ cảnh:
- Chúng tôi là một công ty thực hiện nghiên cứu với giới học thuật và công nghiệp, do đó chúng tôi có nhiều thông tin về các dự án hiện tại của chúng tôi cùng với các nhà nghiên cứu tương ứng. Do đó, thông tin có trong email ban đầu (tiêu đề hợp lý cho Tài liệu X và tiêu đề Dự án Y) có thể được thu thập từ trang chủ của chúng tôi.
- company.com là một công ty hợp pháp và tham gia vào một số nghiên cứu của chúng tôi.
Trả lời
Bạn đang tập trung vào người hiện có chứ không phải tài khoản. Hãy xem xét rằng Eve tồn tại, không gửi email nhưng ai đó có quyền truy cập vào tài khoản của cô ấy đã gửi và đã nhập quy tắc email để ngăn email của bạn lọt vào hộp thư đến. Bạn có thể tiếp tục cuộc trò chuyện với tài khoản đó nhưng không phải chính Eve.
Vì vậy, tôi sẽ thêm:
- Tài khoản tồn tại, email đã được gửi từ tài khoản, nhưng Eve không gửi email (tài khoản bị xâm phạm)
- Tài khoản tồn tại, email đã được gửi từ tài khoản, nhưng Eve không tồn tại (tài khoản giả)
Trong cả hai trường hợp, nếu bạn trả lời, bạn có thể đang trả lời với tác nhân ác ý chứ không phải Eve.
Cách phản hồi tốt nhất là liên hệ với Eve thông qua một số phương tiện khác ngoài email (cuộc gọi, thông tin liên hệ khác, v.v.)
Nếu bạn không biết Eve, tôi thấy không có lý do gì để theo dõi.
Nếu bạn kinh doanh với công ty mà cô ấy tuyên bố là đại diện, bạn có thể liên hệ với một người liên hệ thường xuyên mà bạn sử dụng tại doanh nghiệp đó. Đừng cố gắng tham gia trực tiếp vào tài khoản đó vì nó có thể không giống như nó có vẻ (ví dụ: tài khoản bị xâm phạm hoặc một thủ thuật giả mạo đánh lừa khách hàng email của bạn).
Bạn cũng có thể kiểm tra DMARC , SPF và / hoặc DKIM trên tin nhắn để xem nó có hợp pháp hay không. Trước tiên, hãy kiểm tra xem miền Từ có đúng không. Sau đó, tìm Authentication-Resultstiêu đề trong thư. Chỉ tin tưởng nó nếu nó được bao quanh bởi các tiêu đề do cơ sở hạ tầng email của bạn thêm vào (hệ thống mà công ty bạn sử dụng để nhận thư của bạn). Nó sẽ cho bạn biết DMARC, SPF và DKIM đã vượt qua những gì. Bạn đang tìm kiếm căn chỉnh DMARC (tiêu đề DKIM có d=giá trị khớp với Frommiền của tiêu đề hoặc phê duyệt SPF, có nghĩa là tìm bản ghi SPF cho Frommiền và xác minh rằng IP của hệ thống kết nối với bản ghi MX của bạn được chấp thuận). Có những công cụ như Messageheader của Hộp công cụ G Suite có thể tra cứu điều này cho bạn (nhưng nó sẽ tập trung vào Google). Nếu SPF hoặc DKIM vượt qua cùng với sự căn chỉnh, thì có thể cơ sở hạ tầng của miền đó đã gửi một cách hợp pháp (nhưng bạn không biết liệu nó có được gửi bởi một tài khoản bị xâm phạm hay không).
Cách đây rất lâu, khi tôi chỉ mặc chiếc quần ngắn cũn cỡn và làm công việc hợp đồng biểu diễn đầu tiên với tư cách là quản trị viên hệ thống, tôi đã trả lời một email spam yêu cầu họ ngừng gửi thư rác cho tôi.
Hóa ra địa chỉ FROM thực sự là danh sách phát tán thư rác và hàng nghìn người đã nhận được email từ tôi yêu cầu họ ngừng gửi thư rác cho tôi. Sau đó, họ gửi lại email cho tôi để nói rằng họ không gửi thư rác - làm sao tôi có thể nghĩ như vậy được.
Kể từ đó tôi chỉ chuyển chúng sang bộ lọc bayesian của mình.