Responder a um e-mail potencialmente falsificado
Um colega recebeu um e-mail não solicitado nas linhas abaixo:
Prezada Sra. Smith
clique no link a seguir para receber o Documento X referente ao Projeto Y.
Sua,
Eve Ninguém
[email protected]
Sugeri ao meu colega que respondesse a Eve Nobody e perguntasse se o e-mail era legítimo. Observe que digitamos o endereço de Eve Nobody, já que alguém poderia adulterar o cabeçalho de resposta.
Presumo três cenários possíveis:
- Eva Ninguém existe e ela mandou o email
- Eva Ninguém existe, mas ela não mandou o e-mail
- Eve Ninguém não existe, e o servidor de e-mail da empresa.com responderá com uma mensagem de erro
Em todos os cenários possíveis, interagimos apenas com company.com, e não com qualquer spoofer potencial. Portanto, considero este curso de ação seguro.
Meu conselho foi válido ou há outros aspectos a serem considerados?
Para contexto:
- Somos uma empresa que faz pesquisas com o meio acadêmico e a indústria, portanto, temos muitas informações sobre nossos projetos atuais junto com os pesquisadores correspondentes. Assim, as informações contidas no e-mail inicial (um título razoável para o Documento X e o título do Projeto Y) podem ser obtidas em nossa homepage.
- company.com é uma empresa legítima e está envolvida em algumas pesquisas nossas.
Respostas
Você está focado na pessoa existente e não na conta. Considere que Eva existe, não enviou o e-mail, mas alguém com acesso à conta dela o fez e inseriu uma regra de e-mail para evitar que seus e-mails cheguem à caixa de entrada. Você poderia manter uma conversa com essa conta, mas não com a própria Eva.
Então, eu acrescentaria:
- A conta existe, o e-mail foi enviado da conta, mas Eva não enviou o e-mail (conta comprometida)
- A conta existe, o e-mail foi enviado da conta, mas Eva não existe (conta fictícia)
Em ambos os casos, se você responder, você pode estar respondendo com o ator malicioso e não com Eva.
A melhor resposta é entrar em contato com Eva por algum meio diferente do e-mail (ligação, outras informações de contato, etc.)
Se você não conhece Eva, não vejo razão para continuar.
Se você faz negócios com a empresa que ela afirma representar, pode entrar em contato com um contato regular que você usa nessa empresa. Não tente envolver essa conta diretamente porque pode não ser o que parece (por exemplo, uma conta comprometida ou um truque de spoofing que engana seu cliente de e-mail).
Você também pode verificar o DMARC , SPF e / ou DKIM na mensagem para ver se ela é legítima. Primeiro, verifique se o domínio De está correto. Em seguida, procure um Authentication-Resultscabeçalho na mensagem. Só confie nele se estiver rodeado de cabeçalhos adicionados pela sua infraestrutura de e-mail (os sistemas que a sua empresa utiliza para receber o seu correio). Ele informará o que DMARC, SPF e DKIM foram aprovados. Você está procurando o alinhamento DMARC (um cabeçalho DKIM cujo d=valor corresponde ao Fromdomínio do cabeçalho ou uma aprovação SPF, o que significa encontrar o registro SPF para o Fromdomínio e verificar se o IP do sistema conectado ao seu registro MX foi aprovado). Existem ferramentas como o G Suite Toolbox Messageheader que podem pesquisar isso para você (mas será centrado no Google). Se o SPF ou DKIM passar com o alinhamento, a mensagem provavelmente foi enviada legitimamente pela infraestrutura desse domínio (mas você não sabe se foi enviada por uma conta comprometida).
Há muito tempo atrás, quando eu estava sem calças curtas e trabalhando em meu primeiro trabalho como administrador de sistema, respondi a um e-mail de spam pedindo que parassem de enviar spam.
Acontece que o endereço DE era na verdade a lista de distribuição de spam e milhares de pessoas receberam um e-mail meu pedindo que parassem de me enviar spam. Eles então me enviaram um e-mail para dizer que não estavam enviando spam - como eu poderia pensar uma coisa dessas.
Desde então, eu apenas os passo para meus filtros bayesianos.