Frage:
Wie kann ich am besten auf Phishing-E-Mails antworten, die von einer Regierungsdomäne gesendet werden?
gp782
2016-07-20 17:40:19 UTC
view on stackexchange narkive permalink

In den letzten Tagen habe ich zwei E-Mails von verschiedenen .gov-Adressen erhalten, die angeblich von Intuit stammen, und ermutige mich, auf einen Link zu klicken, um den Zugriff auf Ihr QuickBooks-Konto wiederherzustellen. Sie geben nicht vor, Regierungsadressen zu sein. Wenn ich auf "Antworten" klicke, wird im Feld "E-Mail an" John.Doe@xxx.gov angezeigt, genau wie in der E-Mail im Abschnitt "Von" angegeben.

Ich habe diese E-Mails an die von der FTC empfohlene Adresse für Phishing-Betrug weitergeleitet. Ich möchte die beteiligten Agenturen jedoch darüber informieren, dass sie Konten kompromittiert haben. Gibt es eine einfache Möglichkeit, das zu tun? Ich habe auf der Website einer Agentur nachgesehen, aber es gab keinen Kontakt, der richtig schien (Texas Agriculture.gov).

Wäre es direkt nützlich, dieser Person (an die gefährdete Adresse) eine E-Mail zu senden? Ich möchte nicht den ganzen Tag damit verbringen, da ich arbeite. Ich möchte nur jemandem einen Kopf hoch geben. Ich hatte gehofft, dass es irgendwo eine Kontaktbox "Missbrauchte Regierungs-E-Mail melden" gibt, aber ich kann so etwas nicht finden.

Die E-Mail, die im Feld von angezeigt wird, wenn Sie auf Antwort klicken, bedeutet nicht, dass die Adresse nicht gefälscht wird.Ich wäre mir also nicht so sicher, ob das Konto tatsächlich kompromittiert ist.
"Wenn ich auf" Antworten "klicke, wird im Mail-to-Feld" John.Doe@xxx.gov "angezeigt, genau wie in der E-Mail im Abschnitt" Von "angegeben."Dass Sie dies für wichtig halten, bedeutet, dass Sie einige Lücken in Ihrem Verständnis der Funktionsweise von E-Mails haben.Die Antwortschaltfläche basiert auf den Headern (es gibt mehrere andere Header als From, die möglicherweise verwendet werden, aber keiner von ihnen ist mehr vor Fälschungen geschützt.)
"Wäre es direkt nützlich, dieser Person (an die gefährdete Adresse) eine E-Mail zu senden?"Die ganze Prämisse dieser Annahme ist falsch.Sie gehen davon aus, dass eine E-Mail mit einer legitim klingenden E-Mail-Adresse legitim ist.Wahrscheinlicher ist, dass Ihr eigener E-Mail-SPAM-Filter diese E-Mails nicht als solche erkannt hat.Wenn Sie sich an die E-Mail-Adresse wenden, von der Sie glauben, dass diese Nachrichten gesendet wurden, wird die Person auf der anderen Seite nur verwirrt, ihre Zeit verschwendet und der Empfänger dieser gefälschten E-Mails nicht gestoppt oder entmutigt.
Die einzige Möglichkeit, mit .gov-Spam umzugehen, besteht darin, Ihren örtlichen Kongressabgeordneten anzurufen.
Es geht um Payload, den bösartigen Link, der mit der E-Mail zusammenkommt.
Ich denke, Sie können dies tatsächlich dem US-CERT https://www.us-cert.gov/report-phishing melden
Fünf antworten:
AstroDan
2016-07-20 17:45:26 UTC
view on stackexchange narkive permalink

Es ist wahrscheinlich, dass der from-Header gefälscht wurde. Ich bekomme ziemlich oft E-Mails von gefälschten .govs, meistens landen sie in meinem Spamfilter. Der darin enthaltene Hyperlink ist entweder eindeutig und ermöglicht die Nachverfolgung oder liefert nur Malware. Meistens ignoriere ich diese einfach.

Wenn Sie glauben, dass der Header nicht gefälscht ist, können Sie sich in der Regel an die Agentur wenden, indem Sie deren Namen und Webmaster googeln oder uns oder andere solche Dinge kontaktieren. Verwenden Sie die Phishing-E-Mail nicht, sie ist mit ziemlicher Sicherheit gefälscht.

Wenn sie das From-Feld trotzdem fälschen, gibt es eine Idee, warum sie persönliche Konten fälschen würden, anstatt "accounts@quickbooks.com" oder etwas, das mit dem Inhalt des Phishing-Versuchs zusammenhängt?
@WoodrowBarlow Oft tun sie es.Sie verwenden etwas Offizielles, das von einem Unternehmen klingt, um zu versuchen, Identität zu etablieren.Aber E-Mails von .gov und ähnlichen Websites können Menschen erschrecken.Sie denken, dass die Regierung vor gefälschten E-Mails geschützt ist und dass sie antworten müssen (versuchen Sie, IRS-Betrug zu googeln).Sogar Ransomware tarnt sich oft als Regierungsproblem.
@WoodrowBarlow Manchmal versuchen Spammer, bei verschiedenen Unternehmen / Regierungen als normale Menschen zu erscheinen.Sie jagen die Mentalität "Wir sind beide Arbeiterbienen", "Kannst du mir nicht helfen" oder "Ich will dir helfen".Da diese E-Mails gefälscht sind, landen sie meistens im Spam-Filter, aber wenn sie durchkommen, tragen sie sowohl die Angst, den Anschein von Böswilligkeit als auch die soziale Komponente, die sie besonders gefährlich macht.Wie aus OPs Post ersichtlich.
Iszi
2016-07-20 20:26:36 UTC
view on stackexchange narkive permalink

Sie sollten auf Phishing von .gov-Adressen genauso reagieren wie auf jede andere Art von Phishing - Sie tun dies nicht.

Antworten Sie nicht auf die E-Mail, klicken Sie nicht Links, öffnen Sie keine Anhänge, tun Sie nichts, was in der E-Mail von Ihnen verlangt wird.

Wenn Sie wirklich großzügig sein möchten, überprüfen Sie die WHOIS-Einträge auf die Domain, von der die Nachricht stammen soll . Das kann Informationen darüber enthalten, wohin Missbrauchsberichte gesendet werden sollen. Sie können auch auf der Homepage der Regierungsbehörde nach einer technischen Kontaktadresse suchen.

Wenn diese nicht helfen und es Ihnen nichts ausmacht, im Dunkeln zu fotografieren, können Sie eine Nachricht an senden Missbrauch von @ oder Spam @ in der Domain, von der die E-Mail angeblich stammt. Dies sind gängige Konten, die von Incident-Response-Teams in vielen Organisationen genau für diesen Zweck verwendet werden.

Wenn Sie einen Ansprechpartner finden, denken Sie daran, die Nachricht als Anhang weiterzuleiten - nicht nur inline. Auf diese Weise kann das Antwortteam die Nachrichtenkopfzeilen anzeigen und zusätzliche Metadaten erfassen, die sonst nicht verfügbar wären.

Seien Sie jedoch vorsichtig, was Sie behaupten. Wie andere bereits erwähnt haben, ist es sehr wahrscheinlich, dass die Nachricht nicht einmal von der Domain stammt, in der Sie glauben, dass sie es getan hat. Geben Sie einfach an, dass Sie die verdächtige E-Mail erhalten haben, und es scheint, dass sie von ihrer Domain stammt. Lassen Sie sie herausfinden, ob dies tatsächlich der Fall ist und auf welcher Ebene (falls vorhanden) ihre Konten / Systeme tatsächlich gefährdet sind.

ArtOfCode
2016-07-20 20:14:00 UTC
view on stackexchange narkive permalink

Ich möchte die beteiligten Agenturen darüber informieren, dass sie Konten kompromittiert haben.

Dies ist wahrscheinlich nicht der Fall.

Unverschlüsselte, nicht signierte E-Mails sind kein sicheres System. Es basiert auf Daten, die der Mail-Client bereitstellt. Diese Daten werden als korrekt angenommen. Dieses Design ermöglicht es einem Angreifer, die Header-Daten (in diesem Fall den From -Header) zu fälschen, und der E-Mail-Client des Empfängers geht davon aus, dass die Daten maßgeblich sind.

Daher sind sie geringer Wahrscheinlich haben die Agenturen Konten kompromittiert, und es ist wahrscheinlicher, dass die Person, die diese Phishing-E-Mails gesendet hat, den Header From auf eine E-Mail-Adresse der Regierung gesetzt hat und gehofft hat, der Empfänger sei leichtgläubig genug, um es zu glauben.

Waddles
2016-07-21 06:07:38 UTC
view on stackexchange narkive permalink

Während der From: -Header in einer E-Mail gefälscht werden kann, landen gefälschte Header in Abhängigkeit von den Sicherheitseinstellungen Ihres eigenen Mail-Clients normalerweise in Ihrem Junk-E-Mail-Ordner oder werden überhaupt nicht empfangen.

Abhängig von Ihrem eigenen Mailserver können Sie auch überprüfen, von welchem ​​Server die E-Mail stammt. Die SPF-Validierung vergleicht dies mit den Domäneneinträgen. Wenn keine Übereinstimmung gefunden wird, landet sie im Junk-Ordner.

Regierungsorganisationen würden wahrscheinlich auch die DKIM-Validierung für ihren E-Mail-Server verwenden (obwohl) Es ist äußerst unwahrscheinlich, dass es sich um S / MIME oder PGP handelt.) Wenn die E-Mail einen gültigen DKIM-Header enthält, stammt dieser fast definitiv vom richtigen Mailserver, was bedeutet, dass der Spam-E-Mailer die ursprünglichen Benutzeranmeldeinformationen irgendwie erhalten hat, aber immer noch hätte das Konto kompromittieren können, ohne in den Computer des Opfers zu gelangen.

Abhängig von der Schwere des Angriffs würde das Sicherheitspersonal der Organisation meines Erachtens gerne von dem Verstoß erfahren, aber nur, wenn es tatsächlich einen gab . Wie andere gesagt haben, könnte es sich nur um einen gefälschten Header handeln, aber es gibt Möglichkeiten, wie Sie diese Dinge überprüfen können, abhängig von der Einrichtung der Ursprungsserver.

blankip
2016-07-22 20:30:47 UTC
view on stackexchange narkive permalink

Wenn Sie ein E-Mail-Kreuzfahrer sein möchten, speichern Sie die E-Mail, leiten Sie sie an die Agenturadresse und die Hauptadresse weiter und lassen Sie sie hinter dem Phisher her. Mit der E-Mail gibt es genügend Informationen, um herauszufinden, woher sie gesendet wurde, und sie können diesen Dienst beenden, wenn sie die Kontrolle darüber haben. Wenn nicht, können sie sich beim Herkunftsland beschweren und prüfen, ob sie Gesetze zur Unterstützung haben.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...