Question:
Quelle est la meilleure façon de répondre aux e-mails de phishing envoyés depuis un domaine gouvernemental?
gp782
2016-07-20 17:40:19 UTC
view on stackexchange narkive permalink

Au cours des derniers jours environ, j'ai reçu deux e-mails provenant d'adresses .gov différentes qui prétendent provenir d'Intuit et m'encouragent à cliquer sur un lien pour "restaurer l'accès à votre compte QuickBooks". Ils ne prétendent pas être des adresses gouvernementales. Si je clique sur répondre, le champ mail-to indique John.Doe@xxx.gov, tout comme l’e-mail l’indique dans la section De.

J'ai transféré ces e-mails à l’adresse recommandée par la FTC pour les escroqueries par hameçonnage, mais j'aimerais informer les agences concernées qu'elles ont des comptes compromis. Y a-t-il un moyen simple de le faire? J'ai regardé sur le site Web d'une agence, mais aucun contact n'a semblé correct (Texas agriculture.gov).

Envoyer un e-mail à cette personne (à l'adresse compromise) serait-il directement utile? Je ne veux pas passer toute la journée là-dessus, puisque je travaille. Je veux juste prévenir quelqu'un. J'espérais qu'il y avait une boîte de contact "Signaler une utilisation abusive d'un e-mail gouvernemental" quelque part, mais je ne trouve rien de tel.

L'e-mail qui apparaît dans le champ de lorsque vous appuyez sur Répondre ne signifie pas que l'adresse n'est pas usurpée.Je ne serais donc pas sûr que le compte soit réellement compromis.
"Si je clique sur répondre, le champ de courrier électronique indique John.Doe@xxx.gov, tout comme le courrier électronique l'indique dans la section De."Le fait que vous pensez que c'est important signifie que vous avez des lacunes dans votre compréhension du fonctionnement du courrier électronique.Le bouton de réponse repose sur les en-têtes (il existe plusieurs autres en-têtes que From qu'il peut utiliser, mais aucun d'entre eux n'est plus protégé contre les faux.)
"Envoyer un e-mail à cette personne (à l'adresse compromise) serait-il directement utile?"Toute la prémisse de cette hypothèse est fausse.Vous supposez qu'un e-mail avec une adresse e-mail légitime est légitime.Ce qui est plus probable, c'est que le filtre anti-spam de vos e-mails n'a pas détecté ces e-mails en tant que tels.Contacter l'adresse e-mail à partir de laquelle vous pensez que ces messages ont été envoyés ne fera que semer la confusion chez la personne de l'autre côté, perdra son temps et * ne * empêchera pas - ou découragera - quiconque envoie ces faux e-mails de les envoyer.
La seule façon de traiter le spam .gov est d'appeler votre membre du Congrès local.
Tout est question de charge utile, le lien malveillant qui accompagne l'e-mail.
Je pense que vous pouvez en fait signaler cela à l'US-CERT https://www.us-cert.gov/report-phishing
Cinq réponses:
AstroDan
2016-07-20 17:45:26 UTC
view on stackexchange narkive permalink

Il est probable que l'en-tête from ait été falsifié. Je reçois assez souvent des e-mails de faux .gov, la plupart du temps ils finissent dans mon filtre anti-spam. Le lien hypertexte à l'intérieur est soit unique, permettant le suivi, ou délivre simplement des logiciels malveillants. La plupart du temps, je les ignore.

Si vous pensez que l'en-tête n'est pas falsifié, vous pouvez généralement contacter l'agence en recherchant son nom et son Webmaster sur Google ou en nous contactant ou d'autres choses du même genre. N'utilisez pas l'e-mail de phishing, il est presque certainement faux.

s'ils usurpent le champ de de toute façon, une idée de pourquoi ils usurperaient des comptes personnels plutôt que `accounts@quickbooks.com` ou quelque chose lié au contenu de la tentative de phishing?
@WoodrowBarlow Souvent, ils le font.Ils utilisent quelque chose de officiel provenant d'une entreprise pour essayer d'établir une identité.Mais les e-mails provenant de .gov et de sites similaires peuvent effrayer les gens.Ils pensent que le gouvernement est protégé contre les faux e-mails et qu'ils doivent répondre (essayez de googler les arnaques IRS).Même les ransomwares se font souvent passer pour un problème gouvernemental.
@WoodrowBarlow Parfois, les spammeurs essaient de sembler être des personnes normales dans diverses entreprises / gouvernements.Ils s'attaquent à la mentalité «Nous sommes tous les deux des abeilles ouvrières», «Tu ne peux pas m'aider» ou «Je veux t'aider».Parce que ces e-mails sont faux, ils se retrouvent principalement dans le filtre anti-spam, mais s'ils réussissent, ils véhiculent à la fois la peur, l'apparence d'office et la composante sociale qui les rend particulièrement dangereux.Comme vu du poste OP.
Iszi
2016-07-20 20:26:36 UTC
view on stackexchange narkive permalink

Vous devez répondre au phishing à partir d'adresses .gov de la même manière que vous répondez à tout autre type de phishing - vous ne le faites pas.

Ne répondez pas à l'e-mail, ne cliquez pas liens, n'ouvrez pas les pièces jointes, ne faites rien que l'e-mail vous demande de faire.

Si vous voulez vraiment être généreux, vérifiez les enregistrements WHOIS du domaine dont le message prétend provenir . Cela peut contenir des informations sur l'endroit où envoyer les rapports d'abus. Vous pouvez également consulter la page d'accueil de l'agence gouvernementale pour obtenir une adresse de contact technique.

Si cela ne vous aide pas et que cela ne vous dérange pas de prendre une photo dans le noir, vous pouvez envoyer un message à abuse @ ou spam @ sur le domaine dont l'e-mail prétend provenir. Ce sont des comptes couramment utilisés par les équipes de réponse aux incidents dans de nombreuses organisations dans ce but précis.

Si vous trouvez un point de contact, n'oubliez pas de transférer le message en pièce jointe - pas seulement en ligne. Cela permet à l'équipe de réponse de voir les en-têtes des messages et de collecter des métadonnées supplémentaires qui ne seraient pas disponibles autrement.

Soyez prudent dans ce que vous prétendez. Comme d'autres l'ont mentionné, il est très possible que le message ne provienne même pas du domaine dans lequel vous pensez qu'il provenait. Indiquez simplement que vous avez reçu l'e-mail suspect, et il semble qu'il provient de leur domaine. Laissez-les déterminer si cela a réellement été le cas et à quel niveau (le cas échéant) leurs comptes / systèmes sont réellement compromis.

ArtOfCode
2016-07-20 20:14:00 UTC
view on stackexchange narkive permalink

Je voudrais informer les agences impliquées qu'elles ont des comptes compromis

Ce ne sera probablement pas vrai.

Les e-mails non chiffrés et non signés ne sont pas un système sécurisé; il est basé sur les données fournies par le client de messagerie. Ces données sont supposées exactes. Cette conception permet à un attaquant de falsifier les données d'en-tête (dans ce cas l'en-tête From ), et le client de messagerie du destinataire supposera que les données font autorité.

Par conséquent, c'est moins Il est probable que les agences aient des comptes compromis, et il est plus probable que la personne qui a envoyé ces e-mails de phishing a défini l'en-tête De sur une adresse e-mail gouvernementale et espère que le destinataire était suffisamment crédule pour le croire.

Waddles
2016-07-21 06:07:38 UTC
view on stackexchange narkive permalink

Bien que l'en-tête From: d'un e-mail puisse être usurpé, en fonction des paramètres de sécurité de votre propre client de messagerie, les en-têtes usurpés arriveront généralement dans votre dossier de courrier indésirable ou ne seront pas reçus du tout.

En fonction de votre propre serveur de messagerie, vous pouvez également vérifier de quel serveur le courrier électronique provient. La validation SPF fonctionne en vérifiant cela par rapport aux enregistrements de domaine, et si aucune correspondance n'est trouvée, elle atterrira dans le dossier indésirable.

Les organisations gouvernementales utiliseraient probablement également la validation DKIM pour leur serveur de messagerie (bien que Il est extrêmement improbable que ce soit S / MIME ou PGP.) S'il y a un en-tête DKIM valide dans l'e-mail, il provient presque certainement du serveur de messagerie correct, ce qui signifie que le courrier indésirable a obtenu les informations d'identification de l'utilisateur d'origine d'une manière ou d'une autre, mais aurait pu compromettre le compte sans accéder à l'ordinateur des victimes.

En fonction de la gravité de l'attaque, je pense que le personnel de sécurité de l'organisation aimerait être informé de la violation, mais uniquement s'il y en a eu une . Comme d'autres l'ont dit, il pourrait s'agir simplement d'un en-tête usurpé, mais il existe des moyens de vérifier ces éléments en fonction de la configuration du ou des serveurs d'origine.

blankip
2016-07-22 20:30:47 UTC
view on stackexchange narkive permalink

Si vous voulez devenir un adepte des e-mails, enregistrez l'e-mail, transférez-le à l'adresse de l'agence et à l'adresse principale, et laissez-les s'en prendre au phisher. Avec l'e-mail, il y a suffisamment d'informations pour savoir d'où il a été envoyé et ils peuvent arrêter ce service, s'ils en ont le contrôle. Sinon, ils peuvent porter plainte auprès du pays d'origine et voir s'ils ont des lois pour les aider.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...