Existe-t-il un moyen définitif de savoir si un e-mail est une tentative de phishing?

Il existe un certain nombre de moyens techniques et non techniques permettant à quelqu'un d'identifier une tentative de phishing.

• Communiquer hors bande. Le moyen le plus simple et fiable consiste à communiquer avec l'expéditeur proposé hors bande. Appelez-les, envoyez-leur une application, le cas échéant, un signal, peu importe. Si une organisation ou un individu ne vous a pas envoyé d'e-mail, il peut vous le dire par téléphone. N'oubliez pas d'utiliser un numéro de téléphone qui n'est pas inclus dans l'e-mail.
• Relecture - Une grande partie du spam, même beaucoup de spear phishing, est très mal écrit. Les phrases mal construites et les fautes d'orthographe sont de très bons indicateurs du spam.

• Survolant les liens - Les liens de phishing seront généralement "obscurcis" pour ressembler à des liens vers une page de connexion. Par exemple, le texte peut être https://login.facebook.com cependant, lorsque vous survolez le lien, vous remarquez qu'il s'agit d'un nom de domaine long et bavard. Phishing révélateur.

  EDIT: Comme Mehrdad et Bacon Brad l'ont souligné, cette méthode peut fournir des résultats mitigés. Les liens peuvent être utilisés dans diverses attaques telles que les attaques CSRF/XSS, et le lien fourni peut également conduire à un tiers autorisé.

• En-têtes d'e-mail - Peut-être que l'un des moyens les plus avertis de la technologie de dire si un e-mail est légitime est de regarder E- en-têtes de courrier . Les e-mails contiennent des métadonnées qui indiquent d'où proviennent les e-mails. Vous pouvez généralement savoir en regardant l'en-tête de l'e-mail si un e-mail provient d'une source authentifiée avec ces en-têtes. Notez que cela est pas infaillible car de nombreuses organisations peuvent externaliser des campagnes de messagerie, mais les e-mails provenant d'une adresse IP privée peuvent indiquer un e-mail de phishing.

• Macros - Le document Word que vous venez de recevoir indique-t-il que vous devez activer les macros pour voir le document? Ne fais pas ça.
• Ingénierie sociale - De nombreuses tactiques d'e-mail de phishing joueront sur les émotions humaines et utiliseront de nombreuses techniques d'ingénierie sociale bien connues. Des déclarations comme "Vous devez cliquer sur ce lien et réactiver votre compte bancaire dans les 24 heures ou votre compte sera fermé" sont destinées à faire paniquer le destinataire. Lorsque nous paniquons, nous prenons des décisions illogiques. Si vous sentez qu'un e-mail atténue vos émotions, vous pourriez être victime de phishing.
• Est-ce un comportement normal? - Les institutions connaissent bien les méthodes de phishing et, à ce titre, elles ne vous demanderont pas de cliquer sur les liens intégrés dans un email pour "réinitialiser votre mot de passe" ou "confirmer votre compte". Si votre sens spidey picotements, probablement le phishing.

D'après mon expérience, il n'y a pas de solution miracle pour lutter contre le phishing. Pendant les tests de pénétration, le phishing sous-marin toujours fonctionne. Les informations ci-dessus vous aideront à repérer les tentatives de phishing, mais le moyen le plus simple et le plus efficace de confirmer ou de refuser une tentative de phishing est d'appeler l '"expéditeur" pour confirmer s'il est légitime.

Cela vous demande-t-il de faire quelque chose que vous ne devriez pas faire sans authentifier l'identité de la partie qui vous demande de le faire? (Notez que "saisir un mot de passe" est une telle action!) Si c'est le cas, vous pouvez le traiter efficacement comme du phishing, quels que soient les motifs de l'expéditeur, car l'e-mail n'est pas authentifié et n'est donc pas un moyen approprié de demandant une action privilégiée.

Il n'existe pas de moyen idéal pour identifier les e-mails de phishing, dans le sens d'une procédure qui vous indique toujours avec succès, pour tout e-mail, qui l'a envoyé et pourquoi. Dans la pratique, une très grande majorité des e-mails de phishing réels sont assez facilement identifiables en tant que tels, car ils sont pour la plupart assez à moitié cités. Certains d'entre eux ne parviennent même pas dans votre boîte de réception, car ils sont si manifestement faux que même le filtre de votre fournisseur de messagerie les a repérés. Mais il n'y a aucun ensemble "définitif" de fonctionnalités de l'e-mail qu'il est possible de vérifier à chaque fois.

Au lieu d'essayer de déterminer si les e-mails sont ou non des tentatives de phishing, vous devez éviter de prendre des mesures qui s'appuient sur leur exactitude si l'e-mail que vous avez reçu est ou non une tentative de phishing. De cette façon, vous n'avez pas besoin de pouvoir faire la différence.

Par exemple, même si l'e-mail que vous venez de recevoir provient vraiment de votre banque, ne cliquez toujours pas sur les liens, puis saisissez vos informations de connexion. Accédez plutôt au site de votre banque en tapant une URL dont vous vous souvenez ou en utilisant un signet. Connectez-vous ensuite, puis recherchez un moyen de naviguer jusqu'à l'endroit où l'e-mail vous a dit d'aller. En dernier recours, car le site de votre banque est horrible, après vous être connecté, vous pouvez utiliser le lien contenu dans l'e-mail mais ne pas vous reconnecter à destination, ou renoncer à toute autre information sensible. Mais attention, il existe des attaques autres que le phishing , auxquelles vous pourriez vous exposer simplement en visitant une page malveillante et sans renoncer à aucune information sensible.

Cela fonctionne pour les tentatives de phishing habituelles en matière de finances/achats. Malheureusement, il y a des cas où cela n'est pas pratique. Supposons qu'un spear-phishing talentueux, travaillant peut-être pour votre concurrent, effectue une frappe typographique sur un domaine similaire à celui de votre employeur et envoie un e-mail qui semble provenir de votre patron, en utilisant son pied de page e-mail réel, en disant "quel prix allons-nous citer dans le pitch Jenkins? ". Il n'est pas réaliste que chaque fois que vous répondez à un e-mail d'entreprise (des dizaines de fois par jour), vous fassiez attention à l'adresse à laquelle vous envoyez, pour vous assurer qu'il s'agit bien de youremployer.com et non de youremp1oyer.com ou yourempIoyer. com ou (paradis pour vous) youremploуer.com [*]. Votre client de messagerie peut vous aider ou non, en termes d'indication visuelle si une adresse e-mail se trouve déjà dans votre carnet d'adresses personnel ou dans votre annuaire d'entreprise.

La différence est que votre employeur, pour quelque raison que ce soit, a décidé d'utiliser le courrier électronique comme moyen de communication d'informations confidentielles. Votre banque, en revanche, a pris une décision différente. Le canal approprié pour une communication sensible vers et à partir de votre banque est son site Web, ou une application téléphonique, ou peut-être par téléphone (bien que vous ne fassiez pas confiance aux appels prétendument de votre banque), ou par la poste pour certaines choses, ou en personne. Ne faites donc pas confiance aux e-mails provenant ou semblant provenir de votre banque. Ne lui faites même pas confiance pour créer un lien vers le site de votre banque. Au lieu de cela, considérez-le comme une invite à utiliser un canal auquel vous pouvez faire confiance.

[*] Le premier est facile: chiffre 1 pour le L. minuscule Le second est un peu plus difficile dans de nombreuses polices: I majuscule pour le L. minuscule Le troisième substitue un Y cyrillique minuscule pour le Y romain minuscule. Si votre client de messagerie le rend du tout, vous ne pourrez probablement pas faire la différence par l'apparence.

Bien que de nombreux e-mails de phishing soient évidents, il n'existe aucun moyen précis de détecter le phishing le plus intelligent. Et il semble que la quantité de phishing intelligent augmente.

Il existe des techniques qui pourraient aider à savoir si l'expéditeur est celui qu'il réclame, c'est-à-dire les signatures numériques, DMARC (qui comprend DKIM + SPF), etc. Mais celles-ci doivent être utilisées sur le site de l'expéditeur et vérifiées sur le site du destinataire - et les deux font défaut dans de nombreux cas ou sont rendus (inutilement) complexes.

Si l'e-mail prétend provenir d'un expéditeur, vous savez déjà que vous pouvez comparer les e-mails avec ceux que vous avez reçus plus tôt pour diverses fonctionnalités, comme la même adresse e-mail de l'expéditeur, le même chemin de transport (en-tête reçu dans l'e-mail), le même e-mail client .... Beaucoup de ces fonctionnalités ne sont visibles que dans le code source du courrier et beaucoup d'entre elles nécessitent une expertise pour extraire et comparer, de sorte que les utilisateurs moyens ne seront pas en mesure de le faire (à part le manque de temps et de motivation dans la plupart des cas ).

Je recommande de jeter un coup d'œil à une récente conférence sur ce sujet lors de la dernière conférence Blackhat: Ichtyologie: Phishing en tant que science .

C'est tellement difficile que ça ne vaut pas la peine d'essayer.

Oui, il existe des moyens d'augmenter considérablement la détection. Mais aucun d'entre eux n'est battu par les hameçonneurs.

• Anglais cassé - il leur suffit d'obtenir un véritable e-mail Wells Fargo et de modifier les URL/informations.
• Received: en-têtes - ils doivent simplement casser n'importe quel box n'importe où dans Wells Fargo qui peut accéder à n'importe quel serveur SMTP officiel.
• Liens de survol (destinations réelles) - franchement, les entreprises les rendent inutiles toutes seules, en saisissant des noms de domaine aléatoires pour le contenu officiel.
• La normalité et le piratage social n'entrent pas en jeu si l'e-mail de phishing semble routinier, c'est-à-dire "voici votre relevé de compte mensuel".

Je suis désolé. Vous ne pouvez pas les distinguer. Vous convaincre que vous le pouvez est le moyen le plus sûr de rester aveugle. Parce que pour réussir, vous devez bien faire les choses à chaque fois. Ils n'ont besoin d'être chanceux qu'une seule fois.

Faire les choses correctement à chaque fois ne vaut tout simplement pas la peine lorsqu'il existe une alternative facile.

Traitez-les tous comme douteux et sortez du groupe.

Je ne clique jamais sur les liens des e-mails des banques. C'est une longue habitude. ** Je traite les e-mails bancaires uniquement comme un chatouillement pour peut-être aller vérifier mon compte dans une autre application, ou téléphoner ou simplement entrer.

Maintenant, le téléphone vous oblige à vérifier la réalité: ce message est-il crédible ou suffisamment important pour déranger un autre humain? Ai-je vraiment besoin d'un agent CS pour me dire "Non, votre compte n'est pas verrouillé, pourquoi ferions-nous cela?"

** en partie, c'est à cause de mes plateformes. Sur mobile, j'ai une application dédiée pour ma banque et je n'ai aucune raison d'utiliser leur interface utilisateur Web. Sur le bureau, je fais mon webmail dans FireFox, où j'ai désactivé Javascript, donc je ne peut pas cliquer sur un lien car le site de la banque ne fonctionnera pas - cela m'oblige à changer de navigateur et à naviguer . Je pourrais copier/coller le lien de clic si je veux vraiment - mais je ne le fais vraiment pas. Je veux dire, je le ferai pour les e-mails de réinitialisation de mot de passe, mais je m'attends à ceux-ci.

Il y a une façon définitive pour moi, et cela ne m'a pas trompé pendant plus de 15 ans en recevant un flux continu de crapware. Je ne sais pas si cela conviendra à tous les utilisateurs sans formation minimale, mais je vais le donner car il est simple, gratuit et a survécu à de nombreux baptêmes du feu avec chaque nouvelle technologie de phishing.

Je viens de lire la source complète des en-têtes de tout e-mail douteux. Par e-mail douteux, je considère également tout e-mail provenant directement d'un connu collègue envoyé depuis son professionnel adresse dès que je vois une demande Je dois vérifier son identité pour répondre à sa demande. Voir réponse courte mais frappante de R. .

Par exemple, un E-mail de ma sœur Alice envoyé de sa vraie adresse professionnelle me demandant de lui faire un virement Western Union à son adresse postale au Nicaragua où elle a été volée de tout. En regardant les sources complètes des en-têtes, j'ai découvert que la première adresse IP utilisée était une IP privée (192.168.1.217) et la première IP publique était au Nigeria. J'ai même remarqué que cet e-mail avait été envoyé avec son compte réel authentifié et je suis en mesure d'avertir son CISO que son mot de passe a été volé (par une attaque de phishing comme d'habitude).

Avec la formation pour lire ces horribles en-têtes, je suis capable de les reconnaître en moins de 15 secondes, sans même avoir à vérifier leur emplacement IP source.

Non, il n'existe aucun moyen infaillible d'identifier les e-mails de phishing.

S'il y en avait, nous aurions programmé cette façon dans un logiciel et l'avoir installé sur tous les serveurs de messagerie et le problème disparaîtrait.

Il existe de longues listes d'indices - d'autres réponses font un bon travail en les énumérant - mais le champ change toujours et la liste n'est jamais parfaite. Heureusement, la plupart des mails de phishing sont faits par des amateurs et sont faciles à repérer avec une certaine expérience, car la plupart des utilisateurs sont faciles à tromper et donc les créateurs de mails de phishing n'ont pas à faire beaucoup d'efforts.

Cependant, il existe des courriers d'hameçonnage extrêmement bien faits, en particulier lors du spear-phishing (c'est-à-dire cibler des individus, souvent qualifiés et formés en informatique). Une étude réalisée il y a dix ans (désolé, je ne me souviens pas du lien) a montré que même les professionnels de l'informatique se trompaient dans les e-mails de phishing.

Notez également que si vous déployez des efforts considérables pour établir ce qui se passe, l'escroc a déjà réussi à perdre votre temps. L'étude des en-têtes ou de tout autre exercice mentionné concerne les personnes qui ne reçoivent pas 200 mails par jour.

En plus des bonnes réponses ci-dessus, quelque chose d'autre qui vous donne un bon indice est de cliquer avec le bouton droit sur les liens sur la page (assurez-vous de ne pas faire un clic gauche!) Et de choisir 'Inspecter l'élément' *.

S'il s'agit d'un faux e-mail, vous verrez une adresse e-mail absurde. Ceux que je vois souvent commencent par "adclick.g.doubleclick.net/". Vous pouvez également obtenir des adresses d'entreprises non pertinentes sur ce qui semble être de véritables liens. **

Bien que je sois sûr que ce site Web est légitime, si j'ai un e-mail me disant d'utiliser un lien comme celui-ci pour annuler une commande, il s'agit clairement d'une arnaque.

* Cela peut apparaître comme un autre nom similaire comme "Inspecter", selon le navigateur

** L'absence d'un lien suspect ne fait pas de lui un véritable email. Voir les autres réponses pour plus de choses à vérifier

Si l'e-mail contient un lien, vous pouvez effectuer certaines vérifications de base en l'ouvrant dans une fenêtre de navigation privée.

Assurez-vous que votre fenêtre de navigation privée est aussi sécurisée que possible avant de commencer. Assurez-vous au minimum que votre navigateur est entièrement mis à jour. Vous pouvez également désactiver Javascript, exécuter le navigateur dans un bac à sable tel que Firejail, ou même l'isoler dans une machine virtuelle (en utilisant VirtualBox ou similaire).

Ouvrez maintenant le lien dans la fenêtre de navigation privée. Une fois la page chargée, vérifiez la barre d'adresse. Assurez-vous que le nom d'hôte (dans les navigateurs modernes, cette partie de l'adresse est généralement plus sombre que les autres) correspond au site auquel vous vous attendiez. La partie la plus importante du nom d'hôte (et la plus difficile à usurper l'identité d'un attaquant) est la partie à la fin, à partir du nom de l'organisation. Donc, si le lien que vous avez dans vos signets est www .facebook.com, alors login .facebook.com est probablement OK, mais www .facebook .example.com ou www .facebook.biz ne l'est pas.

Vérifiez que le site possède un certificat valide - sur la plupart des navigateurs modernes, il y a un cadenas vert dans ou près de la barre d'adresse. S'il est manquant, rouge, jaune ou gris, vous ne devriez probablement pas vous connecter à ce site, même si vous êtes en mesure de prouver que c'est la bonne adresse.

Ensuite, si la page que vous atteignez a une option de connexion, utilisez-la, mais avec des informations d'identification qui ne fonctionnent pas. Les attaques de phishing ne tenteront généralement pas de valider les informations d'identification que vous entrez, contrairement à un site réel. S'il ne vous avertit pas que les informations d'identification n'étaient pas valides, il s'agit probablement d'une attaque de phishing.

Et enfin, si vous pouvez éviter d'utiliser le lien dans l'e-mail, faites-le. Si vous avez un lien vers le site dans vos favoris, ou si vous pouvez vous procurer une adresse de confiance d'une autre manière, connectez-vous à l'aide de cette adresse à la place.

Il peut s'agir d'un simple pédantisme, mais non: il n'y a pas définitif moyen de savoir si un e-mail est une tentative de phishing.

Supposons qu'une princesse nigériane ait effectivement besoin d'aide pour transférer d'importantes sommes d'argent hors du pays; supposons en outre qu'elle n'avait personne d'autre au monde vers qui se tourner et qu'elle était en effet réduite à envoyer des e-mails à de parfaits inconnus. Dans une telle situation, un utilisateur pourrait recevoir une demande légitime d'assistance d'une princesse nigériane, qui serait néanmoins identique à un message de phishing classique.

(Une application non pédante de l'exemple ci-dessus serait de vous demander si vous êtes plus gêné par les faux positifs ou les faux négatifs, qui informeront de la rigueur d'un filtre que vous implémentez.)

Pas dans la généralité comme vous le demandez. Et le problème n'est pas seul les mails de phishing. Jetez un œil aux e-mails provenant d'expéditeurs légitimes comme Twitter, Amazon, Paypal et autres.

Beaucoup d'entre eux utilisent de mauvaises pratiques. Mise en relation https://mysite à https://mysite-mailtracking.com/asdf, en utilisant du HTML compliqué dans le courrier, en utilisant différents domaines comme domaine de service principal, domaine d'expéditeur de courrier et domaines qu'ils mentionnent dans le courrier et mettent beaucoup d'informations en images au lieu de texte.

Lorsque vous souhaitez le tester en tant qu'expert qui souhaite voir comment il utilise le phishing, une méthode serait de "cliquer dans un navigateur sécurisé, de surveiller le domaine que vous êtes redirigé et si cela correspond au formulaire que vous obtenez lorsque vous vous connectez manuellement et ouvrir le formulaire ". Mais ce n'est rien à suggérer à un utilisateur, qui tombe amoureux de choses beaucoup plus simples.

Donc, le conseil raisonnable ici: ignorer quoi que ce soit dans le courrier, mais que quelque chose s'est passé et connectez-vous avec votre navigateur comme vous le faites tous les jours. La plupart des services vous diront ce que le courrier voulait que vous sachiez, car les utilisateurs d'aujourd'hui utilisent souvent le site Web/l'application plus souvent qu'ils ne lisent leur courrier.

Une entreprise de sécurité professionnelle peut généralement déterminer avec une quasi-certitude si un e-mail est du phishing ou non. Cela peut ne pas être utile à l'utilisateur moyen, mais voici comment ils le feraient:

Origine de l'e-mail

Les e-mails contiennent une série d'en-têtes qui indiquent l'adresse IP des relais de messagerie. Ceux-ci peuvent être analysés pour identifier l'adresse IP de l'expéditeur. Cela devrait être l'organisation légitime. S'il s'agit d'un nœud de sortie ToR, c'est très suspect.

Il existe des scénarios où l'origine n'est pas concluante, comme un fournisseur de messagerie tiers. Dans ce cas, l'entreprise s'adresserait au fournisseur de messagerie et à l'organisation légitime et pourrait normalement résoudre ce problème.

Ils examineraient également l'adresse e-mail source et vérifieraient peut-être les journaux des e-mails sortants de l'entreprise légitime.

Contenu de l'e-mail

En règle générale, un e-mail de phishing contient un lien vers un site Web qui n'appartient pas à l'organisation légitime et demande des informations de connexion. Le domaine peut être trompeur (par exemple, mybank-secure.com n'a rien à voir avec myback.com), être un sosie (par exemple, un capital que je ressemble à un minuscule) ou peut utiliser une attaque comme un script ou une session intersite fixation pour montrer le domaine légitime. Pour faire face à tout cela, la source du courrier électronique serait analysée manuellement sous forme de texte en clair et la propriété de tous les domaines étudiée en détail. Dans certains cas, il peut s'agir d'un e-mail légitime utilisant de mauvaises pratiques - mais il est préférable de ne pas saisir vos coordonnées de toute façon!

Le courrier peut également contenir des logiciels malveillants. L'exécution d'un logiciel antivirus sur toutes les pièces jointes est un début. Mais cela pourrait être un malware polymorphe ou zero-day qui résiste à l'antivirus. Au lieu de cela, l'analyse manuelle tentera d'identifier tout ce qui semble suspect. Un document Word avec une macro de chargement qui crée un objet OLE peut ne pas déclencher de logiciel antivirus - mais il est certainement suspect.

Encore une fois, cela ne sera pas toujours concluant. Pour certains types de spear phishing, il peut être impossible de distinguer un contenu légitime d'un contenu frauduleux. Si quelqu'un vend quelque chose, et juste avant le paiement, recevez un e-mail disant "en fait, envoyez l'argent ici ..." - le contenu seul ne vous aide pas, vous devez vérifier l'origine.

On ne m'a jamais demandé de le faire, mais je m'attends à ce que la plupart des entreprises de médecine légale le fassent de temps en temps. Dans les grandes organisations, des e-mails en masse sont parfois envoyés aux clients sans autorisation appropriée. Peut-être qu'un tel e-mail a été signalé comme du phishing, l'organisation d'origine doit alors déterminer ce qui s'est passé. Si cela se produit, cela montre que l'organisation a de mauvais contrôles sur les e-mails des clients, mais cela ne sera pas une grande surprise.

Conseils anti-phishing

Mettez en favoris les sites qui vous intéressent - votre banque, votre carte de crédit, etc. Si vous recevez un e-mail de leur part, ne cliquez pas sur ce lien; utilisez plutôt votre signet. Cette simple précaution élimine la grande majorité des attaques de phishing.