Quelle est la meilleure façon de répondre aux e-mails de phishing envoyés depuis un domaine gouvernemental?
Au cours de la dernière journée, j'ai reçu deux courriels provenant d'adresses .gov différentes qui prétendent provenir d'Intuit et m'encourage à cliquer sur un lien pour "restaurer l'accès à votre compte QuickBooks". Ils ne prétendent pas être des adresses gouvernementales. Si je clique sur répondre, le champ de courrier électronique indique [email protected], comme l'indique l'e-mail dans la section De.
J'ai envoyé ces e-mails à l'adresse recommandée par la FTC pour les escroqueries par hameçonnage, mais je tiens à informer les agences concernées qu'elles ont des comptes compromis. Y a-t-il un moyen facile de le faire? J'ai consulté le site Web d'une agence, mais aucun contact ne semblait correct (Texas agriculture.gov).
Un courriel à cette personne (à l'adresse compromise) serait-il directement utile? Je ne veux pas passer toute la journée là-dessus, car je travaille. Je veux juste prévenir quelqu'un. J'espérais qu'il y avait quelque part une boîte de contact "Signaler un usage abusif du courrier électronique du gouvernement", mais je ne trouve rien de tel.
Il est probable que l'en-tête from ait été falsifié. Je reçois assez souvent des e-mails de faux .gov, la plupart du temps ils finissent dans mon filtre anti-spam. Le lien hypertexte à l'intérieur est soit unique, permettant le suivi, soit fournit simplement des logiciels malveillants. La plupart du temps, je les ignore.
Si vous pensez que l'en-tête n'est pas falsifié, vous pouvez généralement contacter l'agence en recherchant son nom et son webmestre sur Google ou en nous contactant ou tout autre élément de ce type. N'utilisez pas l'e-mail de phishing, il est presque certainement faux.
Vous devez répondre au phishing des adresses .gov de la même manière que vous répondez à tout autre type de phishing - ce n'est pas le cas.
Ne répondez pas à l'e-mail, ne cliquez pas sur les liens, n'ouvrez pas les pièces jointes, ne faites rien que l'e-mail vous demande de faire.
Si vous voulez vraiment être généreux, vérifiez les enregistrements WHOIS pour le domaine dont le message prétend provenir. Cela peut avoir des informations sur l'endroit où envoyer les rapports d'abus. Vous pouvez également consulter la page d'accueil de l'agence gouvernementale pour une adresse de contact technique.
Si cela ne vous aide pas et que cela ne vous dérange pas de prendre une photo dans l'obscurité, vous pouvez envoyer un message à abuse@ ou spam@ sur le domaine dont le courrier prétend provenir. Il s'agit de comptes communs utilisés par les équipes de réponse aux incidents dans de nombreuses organisations à cette fin.
Si vous trouvez un point de contact, n'oubliez pas de transmettre le message en pièce jointe - pas seulement en ligne. Cela permet à l'équipe de réponse de voir les en-têtes de message et de collecter des métadonnées supplémentaires qui autrement ne seraient pas disponibles.
Soyez prudent dans ce que vous prétendez cependant. Comme d'autres l'ont mentionné, il est très possible que le message ne provienne même pas du domaine dans lequel vous pensez qu'il l'a été. Indiquez simplement que vous avez reçu l'e-mail suspect, et il apparaît qu'il provient de leur domaine. Laissez-les déterminer si c'est le cas et à quel niveau (le cas échéant) leurs comptes/systèmes sont réellement compromis.
Je voudrais informer les agences concernées qu'elles ont des comptes compromis
Ce n'est probablement pas vrai.
Le courrier électronique non chiffré et non signé n'est pas un système sécurisé; il est basé sur les données fournies par le client de messagerie. Ces données sont supposées exactes. Cette conception permet à un attaquant de forger les données d'en-tête (dans ce cas, l'en-tête From), et le client de messagerie du destinataire supposera que les données font autorité.
Par conséquent, il est moins probable que les agences aient des comptes compromis et plus probable que la personne qui a envoyé ces e-mails de phishing ait défini l'en-tête From sur une adresse de messagerie du gouvernement et espère que le destinataire était suffisamment crédule pour le croire.
Bien que l'en-tête From: dans un e-mail puisse être falsifié, selon les paramètres de sécurité de votre propre client de messagerie, les en-têtes falsifiés atterriront généralement dans votre dossier de courrier indésirable ou ne seront pas reçus du tout.
En fonction de votre propre serveur de messagerie, vous pouvez également vérifier de quel serveur provient l'e-mail. La validation SPF fonctionne en vérifiant cela par rapport aux enregistrements de domaine, et si aucune correspondance n'est trouvée, elle atterrira dans le dossier indésirable.
Les organisations gouvernementales utiliseraient également probablement la validation DKIM pour leur serveur de messagerie (bien qu'il soit très peu probable qu'il s'agisse de S/MIME ou de PGP). S'il y a un en-tête DKIM valide dans le courrier électronique, il provient presque certainement du bon serveur de messagerie, ce qui signifie que l'e-mail spam a obtenu les informations d'identification des utilisateurs d'origine d'une manière ou d'une autre, mais aurait pu compromettre le compte sans entrer dans l'ordinateur de la victime.
Selon la gravité de l'attaque, je pense que le personnel de sécurité de l'organisation aimerait connaître la violation, mais seulement s'il y en a eu une. Comme d'autres l'ont dit, il pourrait simplement s'agir d'un en-tête usurpé, mais il existe des moyens de vérifier ces éléments en fonction de la configuration du ou des serveurs d'origine.