📜  如何识别钓鱼邮件?

📅  最后修改于: 2022-05-13 01:57:04.135000             🧑  作者: Mango

如何识别钓鱼邮件?

电子邮件服务已成为组织和社区相当重要的通信手段。电子邮件在商业运营和银行、金融、IT 运营等许多其他方面的使用显着增加。但这种形式的交流也会招致各种威胁,甚至可能导致大灾难。网络钓鱼是一个在每个人中都非常流行的术语。在这个技术时代,它仍然是最有效的社会工程方法之一。

攻击者的主要目的是窃取员工的凭据以进入系统或滥用这些凭据以及触发更大的攻击。黑客可以借助虚假电子邮件生成器或通过欺骗任何合法人的电子邮件轻松创建虚假电子邮件。通过这样做,他们可以轻松隐藏自己的身份并利用受害者打开任何恶意链接或任何可执行的恶意软件。如今,组织正在对员工进行一些一般性培训,并通过部署必要的工具和程序来采取预防措施,但最后,触发这种攻击的是人为错误。有时,黑客还可以使用组织通常使用的中继服务器等服务来批量发送电子邮件。因此,这种邮件可以是营销电子邮件或带有“不回复”等术语的电子邮件。因此,识别这些钓鱼邮件是非常有必要的。

电子邮件分析可以按如下顺序进行

  1. 电子邮件的标题分析。
  2. 检查不常见的语法错误。
  3. 请务必了解发件人在电子邮件中的动机。
  4. 如果来源可靠且可靠,请始终打开附件。

标头分析可以有效地解决此问题,因为它包含电子邮件上的原始数据,如试图隐藏的发件人的原始名称、信封数据、检查电子邮件是否通过DKIM (域密钥识别邮件)和SPF (发件人策略框架)。 DKIM 和 SPF 是一种框架,或者我们可以说标准可以帮助确定发件人的来源是否合法。

显示邮件来自合法来源的示例标头

上图是通过 Gmail 的中继服务发送的电子邮件的示例标头。所以在这里,SPF 和 DKIM 被传递,并且return-pathfrom字段也应该是相同的。如果它们不同,那么肯定是网络钓鱼或欺骗的尝试。现在标题分析可以有效地给出结果,但它也有局限性。如果攻击者使用了欺骗性电子邮件,那么他将能够轻松绕过 SPF/DKIM,并且返回和来自字段不会有所不同。

一封看似合法的电子邮件

现在,上面显示的电子邮件肯定看起来是合法的,因为它来自一个知名组织。

下一步是检查拼写错误和错误,一切似乎都是正确的,检查电子邮件所传达的内容。现在,这封电子邮件是关于他们工作政策的一些更新。因此,受害者可能会单击更新用户设置图标来更新他/她的个人资料。现在,这里要注意的有趣点是它实际上如何可以很容易地用来强迫他/她获得凭证。它会将受害者重定向到个人资料页面,或者如果未登录则要求相同。但是,当单击其他链接项目(例如社交媒体图标和Playstore图标)时,它仍会重定向到同一个页面,即登录页面。

所有链接都重定向到同一个登录页面

现在,这当然不应该发生其他链接图标要求相同的登录。显然,攻击者正在强迫受害者输入他/她的凭据,以便帐户详细信息被泄露,受害者甚至不会注意到。因此,这封电子邮件看起来是合法的,但实际上并非如此。

最容易和易受攻击的目标始终是人类。无论我们进行了多少自动化,我们的系统为这种情况做好了多么先进的准备,社会工程仍然是黑客伤害任何组织的最有效方式之一,而且这也太具有破坏性了。因此,识别此类网络钓鱼电子邮件对于个人以及大型组织来说都是非常必要的。