Ответ на потенциально поддельное письмо
Коллега получил нежелательное электронное письмо следующего содержания:
Дорогая мисс Смит
пожалуйста, нажмите на следующую ссылку, чтобы получить Документ X относительно Проекта Y.
Ваш,
Ева Никто
[email protected]
Я предложил своему коллеге ответить Eve Nobody и спросить, является ли электронное письмо законным. Обратите внимание, что мы ввели адрес Eve Nobody, так как можно было вмешаться в заголовок ответа.
Я предполагаю три возможных сценария:
- Ева Никто не существует, и она отправила электронное письмо
- Ева Никто не существует, но она не отправляла электронное письмо
- Eve Никто не существует, и почтовый сервер company.com ответит сообщением об ошибке.
Во всех возможных сценариях мы взаимодействуем только с company.com, а не с потенциальным спуфером. Таким образом, я считаю такой образ действий безопасным.
Был ли мой совет разумным, или есть другие аспекты, которые следует учитывать?
Для контекста:
- Мы - фирма, которая проводит исследования совместно с академическими кругами и промышленностью, поэтому у нас есть много информации о наших текущих проектах вместе с соответствующими исследователями. Таким образом, информацию, содержащуюся в исходном электронном письме (разумное название для документа X и название проекта Y), можно получить с нашей домашней страницы.
- company.com является законной компанией и участвует в некоторых наших исследованиях.
Ответы
Вы сосредоточены на существующем человеке, а не на аккаунте. Учтите, что Ева существует, она не отправляла электронное письмо, но кто-то, имеющий доступ к ее учетной записи, сделал это и ввел правило электронной почты, чтобы ваши электронные письма не попадали во входящие. Вы могли бы вести разговор с этим аккаунтом, но не с самой Евой.
Поэтому я бы добавил:
- Учетная запись существует, электронное письмо было отправлено из учетной записи, но Ева не отправила письмо (скомпрометированная учетная запись)
- Учетная запись существует, электронная почта была отправлена из учетной записи, но Ева не существует (фиктивная учетная запись)
В обоих случаях, если вы ответите, вы можете отвечать злоумышленнику, а не Еве.
Лучший ответ - связаться с Евой не по электронной почте (звонок, другая контактная информация и т. Д.)
Если вы не знаете Еву, я не вижу причин для продолжения.
Если вы ведете дела с компанией, которую она утверждает, что представляет, вы можете обратиться к постоянному контактному лицу, которое вы используете в этой компании. Не пытайтесь задействовать эту учетную запись напрямую, потому что это может быть не то, чем кажется (например, взломанная учетная запись или уловка с подменой, которая обманывает ваш почтовый клиент).
Вы также можете проверить DMARC , SPF и / или DKIM в сообщении, чтобы узнать, является ли оно законным. Сначала проверьте правильность домена "От". Затем найдите в сообщении Authentication-Results
заголовок. Доверяйте ему, только если он окружен заголовками, добавленными вашей почтовой инфраструктурой (системами, которые ваша компания использует для получения вашей почты). Он расскажет, какие из DMARC, SPF и DKIM прошли. Вы ищете выравнивание DMARC (заголовок DKIM, d=
значение которого соответствует From
домену заголовка или утверждение SPF, что означает поиск записи SPF для From
домена и проверку того, что IP-адрес системы, подключенной к вашей записи MX, одобрен). Есть инструменты, такие как G Suite Toolbox Messageheader, которые могут найти это для вас (но это будет ориентировано на Google). Если SPF или DKIM проходят с согласованием, сообщение, вероятно, законно отправлено инфраструктурой этого домена (но вы не знаете, было ли оно отправлено взломанной учетной записью).
Давным-давно, когда я был без коротких штанов и работал на своем первом концерте системным администратором, я ответил на спам-электронное письмо с просьбой прекратить спамить меня.
Оказалось, что адрес ОТ на самом деле был списком рассылки спама, и тысячи людей получили от меня электронное письмо с просьбой прекратить присылать мне спам. Затем они отправили мне электронное письмо, чтобы сказать, что не рассылают спам - как я мог думать о таком.
С тех пор я просто передаю их своим байесовским фильтрам.