Есть ли окончательный способ сказать, если письмо является попыткой мошенничества? Какие сигналы должны в "компьютер" и пользователей использует для обнаружения фишинг-письма?
Существует целый ряд как технических, так и нетехнических способов, что кто-то может идентифицировать попытка фишинга.
Редактировать : как Мехрдад и беконом бред отмечали этот метод может дать неоднозначные результаты. Ссылки могут быть использованы в различных атак, таких как атак CSRF / XSS и ссылку может также вести к уполномоченным лицам.
В моем опыте нет одной серебряной пули в борьбе с фишингом. Во время проникновения тесты фишинг всегда работает. Приведенная выше информация поможет вам пятно пытается обмануть вас, но самый простой и самый эффективный способ подтвердить или опровергнуть фишинга позвонить в "отправитель", чтобы подтвердить, если это's законный.
Она просит вас сделать что-то, что вы не должны делать без удостоверяющем личность участника, который просит вас сделать это? (Обратите внимание, что "ввода" это такая акция!) Если это так, вы можете эффективно лечить это как фишинг, независимо от отправителя'с мотивами, с электронной почты не прошел проверку подлинности и, следовательно, не является подходящим способом запроса привилегированные акции.
Там нет идеальный способ, чтобы определить фишинговые письма, в смысле процедура, которая всегда удачно говорит вам, что для любой электронной почты, кто его послал и зачем. На практике, очень большая часть реальных фишинговых писем является довольно легко идентифицируются как таковые, потому что они'Ре в основном довольно бестолковый. Некоторые из них Дон'т даже сделать его на ваш почтовый ящик, потому что они'вновь так нагло подделать, чем даже ваш поставщик услуг электронной почты's фильтра и заметил их. Но там'ов нет "окончательное" и набор функций электронной почты, которые можно проверить в любое время.
Вместо того, чтобы пытаться определить, является ли или не электронные письма фишинга, вы должны избегать любых действий, опирается в своей правоте о том, является ли или не вы получили это письмо является попыткой мошенничества. Таким образом, вы Дон'т должны быть в состоянии сказать, разницу.
Например, даже если письмо, которое вы получили от вашего банка, до сих пор не'т нажимайте на ссылки в нем, а затем введите свои регистрационные данные. Вместо того, чтобы пойти в свой банк'ы сайт, введя URL-адрес помнишь, или используя закладку. Затем войти в систему, а затем искать пути, чтобы перейти к где написать надо было. В качестве последнего средства, потому что ваш банк'ами сайтов-это ужасно, после входа в систему вы можете использовать ссылку в письме, но не войти снова в пункт назначения, или отказаться от любой другой конфиденциальной информации. Но помните, что есть несколько атак кроме фишинга, которые вы можете подвергать себя только при посещении вредоносной страницы и без какой-либо конфиденциальной информации.
Это работает для обычных финансы/торговый фишинга. К сожалению, бывают случаи, когда это нецелесообразно. Предположим, талантливый копье-Фишер, возможно работает на вашего конкурента, опечатка-приседания на домене похож на вашего работодателя'ы домена и отправляет электронное сообщение от вашего босса, через их фактического колонтитуле, сказав "по какой цене мы будем цитировать в Дженкинс поле?&и". Это's не реалистично, что каждый раз, когда вы ответить на электронной почты компании (десятки раз в сутки), вы будете осторожны, щуриться на адрес, который вы'вновь отправкой, чтобы убедиться, что он's действительно youremployer.com и не youremp1oyer.com или yourempIoyer.com или (боже упаси) youremployer.com[*]. Ваш почтовый клиент может или не может помочь вам, в плане визуально, указывающее, является ли или не является адресом электронной почты уже есть в вашей адресной книге или в каталоге компании.
Разница в том, что ваш работодатель по каким-то причинам решил, что они будут использовать электронную почту как свою среду для общения с конфиденциальной информацией. Ваш банк, с другой стороны, принял другое решение. Правильный канал для чувствительной сообщение и от ваш банк их сайт, или приложение, или, возможно, по телефону (хотя не доверять телефонным звонкам якобы от вашего банка), или по почте на те или иные вещи, или человека. Так что не доверяйте электронной почты, или от вашего банка. Дон'т доверять даже это перейти по ссылке на ваш банковский'с сайта. Вместо этого, считайте, что это запрос на использование канала, которому можно доверять.
[*] Первое легко: цифра 1 для строчных л. Второй немного сложнее, во многих шрифтах: верхний я для строчная буква Л. третья заменяет строчные кириллические Y для строчных Роман Юрьевич, если ваш почтовый клиент делает это на всех, скорее всего, вы выиграли'т быть в состоянии сказать, разница по внешнему виду.
В то время как многие фишинговые письма очевидно, нет однозначного способа обнаружить более умные фишинга. И похоже, что количество умных фишинга растет.
Существуют методы, которые могут помочь выяснить, если отправитель является та, которую он претендует, т. е. цифровые подписи, верификации (которая включает запись DKIM+СПФ) и т. д. Но они должны быть трудоустроены на территории отправителя и проверил на месте получателя - и оба либо не хватает во многих случаях или сложных (без надобности).
Если почта утверждает, что от отправителя, вы уже знаете, вы можете сравнить писем с те, что вы'ве получил ранее за различные функции, такие как адрес электронной почты отправителя, те же транспортные пути (получил заголовок в Почте), тот же почтовый клиент .... Многие из этих функций видны только в исходном коде письма, и многие из них требуют специальных знаний для извлечения и сравнивать поэтому рядовые пользователи не будут в состоянии сделать это (помимо отсутствия времени и мотивации в большинстве случаев).
Я рекомендую взглянуть на недавней говорить об этой теме на последней конференции конференции BlackHat: [ихтиологии: фишинг как науки](
Да, есть способы, чтобы значительно увеличить раскрываемость. Но любого из них можно победить с помощью фишинга.
received:
- их просто нужно взломать любого поле в любом месте в "Уэллс Фарго", который может открыть любой официальный сервер SMTP. Я'м жаль. Вы можете'т сказать их друг от друга. Убедив себя, вы можете это верный способ быть облапошенным. Ведь чтобы добиться успеха, необходимо получить это право каждый раз. Они нужны только один раз повезло.
Получить это право каждый раз, когда это просто не стоит усилий, когда там'с легкой альтернативой.
Я никогда не нажимайте на ссылки в электронной почте от банков. Это давно привычка.* Я отношусь к банку письма только как пощекотать может, пойти проверить мой аккаунт в другом приложении*, или по телефону или просто прийти.
Теперь, телефон заставляет вас в реальность: это сообщение правдоподобным или достаточно важным, чтобы беспокоить другого человека? Мне действительно нужен агент CS, чтобы сказать мне "Нет, ваш аккаунт не заблокирован, зачем нам это делать?&и"
* частично, что'ы из-за моей платформы. На мобильный, у меня есть специальное приложение для Моего банка, и нет оснований использовать их веб-интерфейс. На столе, я делаю свою почту в Firefox, где я вас отключен JavaScript, поэтому я могу'т нажать на ссылку, как сайт банка выиграл't работа -- это заставляет меня переключать браузеры и навигации. Я могу копировать/вставить, нажмите ссылку если я действительно хочу - но я действительно не'т. Я имею в виду, я сделаю это для смены пароля, но я'м ждут.
Есть один четкий для меня способом, и это вовсе'т меня обманули уже более 15 лет с момента получения непрерывного потока crapware. Я не уверен, что он подойдет каждому пользователю без минимальной подготовки, но я приведу его, поскольку он является простой, бесплатный и пережил боевое крещение с каждой новой фишинг-технологий.
Я только что прочитал полный текст заголовков любого сомнительного электронной почты. Сомнительным электронной почте, я считаю также любой электронной почты, поступающие прямо из известных коллега, посланный от его профессиональная адрес как только я увижу а запрос я обязательно проверить его личность выполнить его просьбу. Смотрите короткий, но яркий ответ от р..
Например, письмо из моя сестра Алиса отправлено с ее настоящая профессиональная адресу просишь меня сделать ей Вестерн Юнион, перевод на ее почтовый адрес в Никарагуа были у нее украли все. Глядя на полные исходники заголовков я обнаружил, что впервые использован IP-адрес был частный IP (192.168.1.217) и первый публичный IP один был в Нигерии. Я даже заметил, что это письмо было отправлено с ее реальный счет проверенный и я могу предупредить ее, что ее CISO пароль был украден (через фишинговую атаку как обычно).
С обучением читать эти ужасные заголовки я могу распознать их в течение менее 15 секунд, даже не придется проверять их источник IP местоположение.
Нет, нет дурака способ определения фишинговых электронных писем.
Если бы были, мы бы запрограммирован таким образом на кусок программного обеспечения и установить его на всех почтовых серверах и проблема уйдет.
Есть длинные списки улики - другие ответы сделать хорошую работу, перечислять их - но всегда изменяют и список не совершенен. К счастью, большинство фишинговых писем выполнены любителями и просты в месте с некоторым опытом, потому что большинство пользователей легко обмануть и таким образом создатели фишинговых писем Дон'т приходится делать много усилий.
Однако, есть некоторые очень хорошо сделано фишинговых писем, особенно когда копье-фишинг (т. е. выражениями лиц, зачастую квалифицированные и образованные в нем). Некоторые исследования десять лет назад (к сожалению, Дон'т помню ссылку) показали, что даже профессионалы, хорошо сделали фишинговые сообщения электронной почты ошибаюсь около 30% времени.
Также обратите внимание, что если развернуть значительные усилия, установив, что'ы происходит, мошенник уже сменил тратить свое время. Изучение заголовков или каких-либо других упомянутых упражнений для людей, которые Дон'т получить 200 писем каждый день.
Это может быть лишь буквоедством, но нет: нет окончательного способ сказать, является ли электронное письмо является попыткой мошенничества.
Предположим, что нигерийская принцесса действительно была нужна помощь в переводе крупных сумм денег из страны; предположим, далее, что она никому в мире, к кому обратиться, и действительно свелась к отправке сообщений незнакомым людям. В такой ситуации пользователь может получить законный запрос о помощи от нигерийской принцессы, которая, тем не менее, было бы идентично классической фишинг-сообщение.
(Не педантичным применение приведенном выше примере можно было бы спросить себя, действительно ли вы больше беспокоило появление ложных срабатываний или ложных негативов, который будет информировать, как строгий фильтр можно реализовать.)
На вершине Великой ответы выше, что-то еще, что дает вам хорошую подсказку-щелкнуть правой кнопкой по ссылкам на странице (убедитесь, что вы Don'т левой кнопкой мыши!) и выбрать 'осмотрите элемент'*.
Если это поддельное электронное письмо, вы'll увидеть какую-то чушь адрес электронной почты. Те, которые я часто вижу начать с "adclick.g.doubleclick.net/". Вы также можете получить неактуально компания решает, что надеется быть подлинным ссылки.**
Хотя я'м уверены, что этот сайт является законным, если у меня есть электронное письмо, говоря мне, чтобы использовать ссылку Отменить заказ, то это однозначно лохотрон.
* Это может проявляться как другое подобное название, как 'осмотр', в зависимости от браузера
** Отсутствие подозрительных ссылок не делает ее подлинной электронной почты. Ознакомиться с другими ответами на другие вещи, чтобы проверить
Если сообщение электронной почты содержит ссылку, есть несколько основных проверок, которые вы можете сделать, открыв его в окне приватного просмотра.
Убедитесь, что ваши окна просмотра inprivate так безопасен, как возможно, прежде чем начать. Как минимум, убедитесь, что ваш браузер полностью обновляется. Вы также можете отключить JavaScript, запуск браузера в песочнице, таких как Firejail, или даже изолировать его в виртуальной машине (использую VirtualBox или аналогичная).
Теперь открыть ссылку в окне приватного просмотра. После загрузки страницы в адресной строке. Убедитесь, что имя хоста (в современных браузерах эта часть адреса обычно темнее, чем остальные) соответствует сайт, вы, как ожидается, достигнет. Самая важная часть из хоста (и самое сложное для злоумышленника выдать себя) - это часть в конце, из названия организации далее. Так что если ссылка, которую вы've получили в свои закладки в интернете: www.facebook.com, затем "логин".facebook.com Это, наверное, ОК, но оч.facebook.example.com или www.facebook.Биз не.
Убедиться, что сайт имеет действительный сертификат - на большинстве современных браузеров, есть зеленый замочек в адресной строке. Если это's отсутствует, красный, желтый, или серый, то вы, наверное,'т зайти на этот сайт, даже если вы сможете доказать, что это правильный адрес.
Далее, Если страница вы достигнете есть вариант входа в систему, используйте ее, но с неработающим учетные данные. Фишинг-атаки обычно не сделаете какие-либо попытки к проверить учетные данные, которые вы вводите, в то время как настоящий сайт. Если это не'т предупредить вас о том, что полномочия были признаны недействительными, это's наверное фишинговой атаки.
И наконец, если вы можете избежать, используя ссылку в письме, потом делать. Если вы'ве получил ссылку на сайт в своих закладках, или вы можете достать надежные решения в какой-то другой способ, войти вместо этого, используя этот адрес.
Не в обобщенности, как вы'повторно просить. И проблема не только в фишинговых писем. Посмотрите на сообщения от надежных отправителей, таких как Twitter и Amazon, PayPal и другие.
Многие из них используют плохие практики. Связывание https://mysite
в https://mysite-mailtracking.com/asdf
, используя сложные HTML в почте, через разные домены как основной домен, почта доменов отправителей и доменов, которые они упоминают в почте и поставить много информации в образы, а не текст.
Когда вы хотите, чтобы проверить его в качестве эксперта, кто хочет увидеть, как они фишинга, метод может быть "кнопку в безопасном браузере, смотреть на то, что домен вы'вновь перенаправлены и если это соответствует форма вы получаете, когда вы вручную войти и открыть формат". Но, что's ничего, чтобы предложить пользователю, который попадает на гораздо проще вещи.
Поэтому разумный совет здесь: игнорировать все, что в почту, но что-то случилось и войдите с браузера, как вы делаете каждый день. Большинство сервисов будет вам сказать то, что почти хотел, чтобы вы знали, как сегодня пользователи часто используют веб-сайт/приложение чаще, чем они читают их письма.
Профессиональная охранная фирма, как правило, можно определить с достаточной уверенностью, является ли сообщение электронной почты-это фишинг или нет. Это не может быть полезным для рядового пользователя, но здесь's, как они будут делать это:
Электронной почты происхождения
Письма содержат ряд заголовков, которые показывают IP-адрес ретрансляции электронной почты. Они могут быть проанализированы, чтобы определить IP-адрес отправителя. Это должна быть законной организации. Если это'ы выходной узел Tor, что'с весьма подозрительным.
Существуют сценарии, где происхождение не дает требуемых результатов, таких как стороннего поставщика услуг электронной почты. В этом случае, компания будет поговорить с почтового провайдера и законные организации, и может нормально решить эту проблему.
Они также хотели посмотреть на исходный адрес электронной почты, и, возможно, Регистрация исходящих почтовых логов законные компании.
Содержание электронной почты
Как правило, фишинг-письма есть ссылка на сайт, который не принадлежит законной организацией и запрашивает данные для входа. Домен может быть вводящей в заблуждение (например, mybank-secure.com ничего общего с myback.com), быть похожим (например, капитал выглядит как нижний регистр L) или может использовать атаку, как межсайтовый скриптинг или фиксация сессии, чтобы показать законных домен. Чтобы справиться со всеми этими, источник электронной почты будет быть проанализированы вручную, так как открытым текстом, и право собственности на все домены детально исследованы. В некоторых случаях это может быть законным по электронной почте, используя плохая практика, но это'ы лучше не вводить свои данные в любом случае!
Письма также могут содержать вредоносные программы. Запуск антивирусного программного обеспечения на любых вложений-это старт. Но это может быть полиморфной или вредоносное ПО нулевого дня, которое противостоит анти-вирус. Вместо ручного анализа попытаемся определить что-нибудь подозрительное. Документ Word с помощью события onload макрос, который создает объект Ole может не вызвать антивирусного программного обеспечения, но это, конечно, подозрительно.
Опять же, это выиграл'т всегда быть окончательными. Для некоторых видов целевой фишинг, это может быть невозможно отличить законное от мошеннического контента. Если кто-то что-то продает, а просто перед оплатой получил сообщение о том, что "на самом деле, отправить деньги здесь...и" - уже содержание не'т помочь вам, вы должны проверить происхождение.
Я'ве никогда не просили сделать это, но я ожидаю, что большинство криминалистов компании делают до поры-до времени. В крупных организациях иногда массовые письма отправляются клиентам без надлежащего разрешения. Возможно, такое письмо было доложено, как фишинг, оригинальные потребности организации, чтобы выяснить, что случилось. Если это происходит, это показывает, что организация имеет плохой контроль за письма поддержки, но, что выиграл'т прийти, как большой сюрприз.
Анти-фишинг советы
Добавьте в закладки сайты, вы заботитесь о вашем банке, кредитная карта и т. д. Если вы получите электронное письмо от них, Дон'т нажмите на эту ссылку; вместо того чтобы использовать закладку. Эта простая мера предосторожности поражений подавляющее большинство фишинговых атак.