#1 楼
有人可以通过多种技术和非技术方式来识别网络钓鱼企图。带外通信。最简单可靠的方法是与提议的发送者进行带外通信。给他们打电话,给他们发送什么应用程序(如果适用),发出信号等。如果组织或个人没有给您发送电子邮件,他们可以通过电话告诉您。只需记住使用电子邮件中未包含的电话号码即可。
校对-很多垃圾邮件,甚至很多鱼叉式网络钓鱼,都写得很差。错误构建的句子和拼写错误是垃圾邮件的很好指示。
将鼠标悬停在链接上-网络钓鱼链接通常会被“模糊处理”,看起来就像它们链接到登录页面一样。例如,文本可能是https://login.facebook.com,但是当您将鼠标悬停在链接上时,您会注意到它是一些冗长的冗长域名。讲故事的网络钓鱼。
编辑:正如Mehrdad和Bacon Brad指出的那样,这种方法可能会产生不同的结果。链接可用于多种攻击,例如CSRF / XSS攻击,并且所提供的链接也可能会导致获得授权的第三方。
电子邮件标题-也许是技术含量更高的一种判断电子邮件是否合法的明智方法是查看电子邮件标题。电子邮件包含元数据,该元数据指出了电子邮件的来源。通常,您可以通过查看电子邮件标题来判断电子邮件是否源自具有这些标题的经过身份验证的来源。请注意,这并不是万无一失,因为许多组织可能会将邮件活动外包,但是来自私有IP地址的电子邮件可能表示网络钓鱼电子邮件。
宏-您所使用的doc这个词是否正确?已发送状态,您需要启用宏才能查看文档?你不要那样做。
社会工程学-许多网络钓鱼电子邮件策略将减轻人的情绪,并采用许多众所周知的社会工程学技术。诸如“您必须单击此链接并在24小时内重新激活您的银行帐户,否则您的帐户将被关闭”之类的陈述旨在使收款人感到恐慌。当我们感到恐慌时,我们会做出不合逻辑的决定。如果您觉得一封电子邮件正在淡化您的情绪,那您可能会变得虚假。
这是正常的行为吗? -机构精通网络钓鱼的方式,因此它们不会要求您单击电子邮件中的嵌入式链接来“重置密码”或“确认您的帐户”。如果您的间谍意识有些刺痛,可能是网上诱骗。
根据我的经验,处理网上诱骗没有万灵药。在渗透测试期间,鱼叉式网络钓鱼始终有效。以上信息将帮助您发现网络钓鱼企图,但是确认或拒绝网络钓鱼企图的最简单,最有效的方法是致电“发件人”以确认其合法性。
评论
将鼠标悬停在链接上不一定有效。合法公司通常都有点击跟踪功能,这会击败这一点。
–user541686
17年9月19日在21:38
我不建议将链接作为常规最终用户和办公室工作人员的建议。相反,我希望他们将所有链接视为潜在的不安全。这是因为它们可能落入login.facebook.com.evilurl.com或合法URL的XSS漏洞。
–培根·布拉德
17年9月19日在22:37
关于您的“这很正常”点-如果您只是要求重设密码或刚刚创建了帐户,而他们告诉您将收到确认电子邮件,则您应该期望收到一封合法电子邮件,其中可能包含您所链接的需要单击以继续。如果您不这样做,则几乎可以肯定是网络钓鱼的尝试。尽管我已经看到包括银行在内的许多合法公司的一些“正常行为”。
–NotThatGuy
17-09-20在0:34
对于其他邮件客户端和服务的用户,以下是有关如何查看Outlook,Outlook.com,Apple Mail,Horde,Roundcube,Yahoo,Gmail / Google Apps的电子邮件标题的说明列表,以及有关Thunderbird的说明。
–汤姆·K。
17-09-20在12:21
首先,大型企业通常具有网络钓鱼报告电子邮件地址(例如“ abuse@bank.com”)-您可以在此处转发电子邮件,并请他们为您验证。请记住,您应该通过访问公司的网站来找到该地址,而不是查看收到的电子邮件!
–IllusiveBrian
17年9月20日在19:05
#2 楼
它是否要求您做一些您不做的事情,而不需要验证要求您这样做的一方的身份? (请注意,“输入密码”就是这样的动作!)如果这样,则无论发件人的动机如何,都可以将其有效地视为网络钓鱼,因为电子邮件未经身份验证,因此不是请求特权动作的合适方法。评论
“电子邮件未通过身份验证”-到目前为止,我要让我的银行经理相互签署PGP密钥的努力一直没有结果。
–史蒂夫·杰索普(Steve Jessop)
17年9月20日在12:54
@SteveJessop-为了公平地对待您的银行经理,PGP密钥主要用于高级用户,并且很少被仿冒。
–paj28
17/09/23在15:06
#3 楼
从始终成功地告诉您任何电子邮件的发送者及其原因的过程来看,没有一种完美的方法来识别网络钓鱼电子邮件。在实践中,非常容易识别出大多数实际的网络钓鱼电子邮件,因为它们大多是半定的。其中一些甚至没有进入您的收件箱,因为它们是如此伪造,甚至您的电子邮件提供商的过滤器也没有发现它们。但是,电子邮件没有每次都可以检查的“确定性”功能集。与其尝试确定电子邮件是否是网络钓鱼企图,不应该采取任何依赖于网络钓鱼的措施。其对您收到的电子邮件是否为网络钓鱼的正确性。这样,您就不必分辨出区别。例如,即使您刚收到的电子邮件确实来自银行,也不要单击其中的链接,然后输入您的登录详细信息。而是输入您记住的URL或使用书签来访问银行的站点。然后登录,然后寻找一种方法导航到电子邮件告诉您的去向。不得已而为之,因为您的银行站点糟糕,登录后您可以使用电子邮件中的链接,但无需在目标位置再次登录或放弃任何其他敏感信息。但是请注意,除了网络钓鱼以外,还有其他攻击,您可以仅通过访问恶意页面而不泄漏任何敏感信息来使自己暴露在网络上。
这适用于通常的金融/购物网络钓鱼尝试。不幸的是,在某些情况下它是不切实际的。假设有才华的长矛钓鱼者(也许正在为您的竞争对手工作)在与您的雇主域相似的域中进行错别字下注,并使用他们的实际电子邮件页脚发送一封似乎来自您老板的电子邮件,说“我们要付出多少代价”在詹金斯球场上引述?”。每次您回复公司电子邮件(一天数十次)时,您都会仔细斜视要发送到的地址,以确保它确实是youremployer.com,而不是youremp1oyer.com或yourempIoyer,这是不现实的。 com或(天堂)youremploуer.com[*]。从视觉上指示您的个人通讯录或公司目录中是否已存在电子邮件地址,您的电子邮件客户端可能会或可能不会为您提供帮助。
区别在于您的雇主,无论出于何种原因,已决定他们将使用电子邮件作为传达机密信息的媒介。另一方面,您的银行则做出了不同的决定。与您的银行进行敏感通信的正确渠道是他们的网站,电话应用程序,或者通过电话(尽管不信任据称来自您的银行的呼叫),或者通过邮寄某些事情或亲自进行。因此,请勿信任来自或似乎来自您银行的电子邮件。甚至不信任它链接到您银行的站点。而是考虑使用一个您可以信任的频道作为提示。
[*]第一个很简单:小写L的数字1。第二个在许多字体中更难一些:大写I小写的L。第三个将小写的西里尔字母Y替换为小写的罗马Y。如果您的邮件客户端完全渲染了它,则很可能无法通过外观分辨出区别。
评论
对我来说,这似乎是最好的政策。例如,它解决了贝宝(Paypal)发送与网络钓鱼尝试无法区分的合法电子邮件(通过第三方域重定向的链接,然后提示您登录)的问题。检查这些只是浪费时间,因此“从不单击链接”是更安全的策略。
–IMSoP
17年9月21日在13:37
我的简短形式是在工作以外进行此类交流时“永远起源,永不接受”。由此,我进行了一次鱼叉式网络钓鱼尝试,有人抓住了我的税务会计师的邮件列表。我会同时提供电话和电子邮件-如果您给我打电话,我会通过有问题的地方的总机给您回电。
–乔·麦克马洪(Joe McMahon)
17/09/22在21:02
@Joe:是的,我对此有不同的经验。我用信用卡打了个安全电话,问他们如何核实身份,然后说:“挂断电话,打回您电话背面印着的号码,总机将把您送回给我们”很好。关于为什么我拒绝回答他们的安全性问题,银行打来的关于随机销售的胡说八道有时令人困惑,尽管至少在英国,整个行业正在逐步学习更好的标准。
–史蒂夫·杰索普(Steve Jessop)
17-09-29在11:11
#4 楼
尽管许多网络钓鱼邮件是显而易见的,但是没有确定的方法可以检测到更聪明的网络钓鱼。而且看来,网上诱骗的数量正在增加。有些技术可能有助于找出发件人是否是他所声称的发件人,即数字签名DMARC(其中包括DKIM + SPF )等。但是这些都需要在发送方站点上使用,并在接收方站点上进行验证-两者要么在很多情况下都缺乏,要么(不必要地)变得复杂。
如果您已经知道该邮件来自发件人,则可以将其与以前收到的邮件进行比较,以提供多种功能,例如发件人的电子邮件地址,相同的传输路径(接收到邮件的标头),相同的邮件客户端...。这些功能中的许多功能仅在邮件的源代码中可见,并且其中许多功能需要专家来提取和比较,因此普通用户将无法执行此操作(除了在大多数情况下都缺乏时间和动力)。
在最近的Blackhat会议上,我建议看一下有关该主题的最新演讲:鱼类学:网络钓鱼作为科学。
评论
史蒂芬(Steffen),DKIM是否总是与SPF并驾齐驱? DMARC是否在IT安全人员中被认为是有效的(如果已实施)?
–大金
17年9月19日在19:07
@daikin:DKIM和SPF是分开的东西。 DMARC统一了这两者,并且还将这两者绑定到邮件的“发件人”标头中指定的域,而不是仅绑定到SMTP信封。尽管它们也可能会中断,但它们被认为是有效的,如转发时的SPF和如果MTA将8位邮件转换为带引号的或类似的邮件,则为DKIM。
– Steffen Ullrich
17年9月19日在19:35
只是为了在这里扩展Steffen的观点-尽管加密(应该)提供了可靠的身份证明,即使在实施时也是如此,但仅提供了机器可以识别的证明,而不是用户。浏览器在将其传达给用户方面比邮件用户代理更好,但是浏览器仍然使用户陷入URL伪装,而且站点甚至不愿意隐藏真实的URL。尽管我已经说过MUA比浏览器更糟糕,但实际上它们应该更容易成为实现行为学习,完整性推断并通知用户推断信任级别的目标。
–symcbean
17年9月21日在16:15
#5 楼
太难了,不值得尝试。是的,有很多方法可以大大提高检测率。但是,它们中的任何一个都可以被网络钓鱼者打败。
英语破损了-他们只需要获取正版的Wells Fargo电子邮件并更改URL /细节。
Received:
标头-他们只需要在Wells Fargo内的任何位置打开可以访问任何官方SMTP服务器的框即可。 悬停链接(实际目标)-坦率地说,公司通过抢夺官方内容的随机域名,使它们自己一文不值。
如果网络钓鱼电子邮件看起来很常规,即“这是您的每月帐户对帐单”,那么正常和社交黑客攻击就不会起作用。
对不起。你不能分开。说服自己,这是使自己陷入困境的最可靠方法。因为要成功,您必须每次都做到正确。他们只需要幸运一次。
如果有一个简单的选择,那么每次都做到正确是不值得的。
将它们全部视为可疑对象,并加以带外处理。
我从不单击银行电子邮件中的链接。这是一个很长的习惯。**我只把银行电子邮件当做痒痒,也许可以去其他应用程序中查看我的帐户,或者打电话或走进去。
现在,电话迫使您进行现实检查:此消息可信或重要到足以打扰另一个人?我是否真的需要CS代理告诉我:“不,您的帐户未锁定,我们为什么要这样做?”
**部分原因是因为我的平台。在移动设备上,我有专门针对我的银行的应用程序,没有理由使用其Web UI。在台式机上,我在FireFox中处理网络邮件,并禁用了Javascript,因此无法单击链接,因为银行网站无法正常工作-这迫使我切换浏览器并进行导航。如果我确实愿意,我可以复制/粘贴点击链接-但我确实不愿意。我的意思是,我将对密码重置电子邮件执行此操作,但我期望如此。
#6 楼
对我而言,有一种确定的方式,并且在连续15年间,这种欺骗方法并没有欺骗我。我不确定它是否适合未经培训的每个用户,但我会给出它,因为它简单,免费,并且在使用每种新的网络钓鱼技术都可以经受许多洗礼。我读了任何可疑电子邮件的标头的完整来源。
通过可疑电子邮件,我还认为,只要我看到请求,便会直接从其专业地址发送的已知同事发送的任何电子邮件
我必须检查他的身份以符合他的要求。例如,请看R.简短而引人注目的答案。
例如,我姐姐Alice的一封电子邮件发自她的真实职业地址,要求我将西联汇款转移到她在尼加拉瓜的邮政地址她被偷走了吗?通过查看完整的标头来源,我发现使用的第一个IP地址是私有IP(192.168.1.217),第一个公共IP地址在尼日利亚。我什至注意到这封电子邮件是通过她的真实帐户进行身份验证发送的,并且我能够警告她的CISO她的
密码被盗(照常通过网络钓鱼攻击)。
经过培训,可以读取这些可怕的标头,使我能够在不到15秒的时间内识别出它们,
甚至不必检查其源IP位置。
评论
我认为我甚至不必查看标题就可以怀疑来自Alice的那封电子邮件。
–辛巴
17-09-22在12:48
#7 楼
不,没有万无一失的方法来识别网络钓鱼电子邮件。如果存在,我们将以这种方式将其编程为一款软件,并将其安装在所有邮件服务器上,这样就可以解决问题。会消失。
线索列表很长-其他答案也很好地列出了这些线索-但领域总是在变化,而且清单永远不会完美。幸运的是,大多数网络钓鱼邮件都是由业余人员完成的,并具有一定的经验,这很琐碎,因为大多数用户都很容易上当,因此网络钓鱼邮件的创建者无需付出太多努力。
但是,其中有一些做得很好的网络钓鱼邮件,尤其是在鱼叉式网络钓鱼时(即以个人为目标,这些人通常是在IT方面熟练且受过教育)。十年前的一项研究(对不起,不记得链接了)表明,即使IT专业人员也有大约30%的时间错误地将完善的网络仿冒电子邮件弄错了。
还请注意,如果您扩展大量的努力来确定正在发生的事情,骗子已经成功地浪费了您的时间。研究标题或提到的任何其他练习适用于每天收不到200封邮件的人。
#8 楼
除了上述出色的答案之外,还有其他一些可以为您提供线索的好方法是右键单击页面上的链接(确保您没有单击鼠标左键!),然后选择“检查元素” *。如果这是假电子邮件,您会看到一些废话电子邮件地址。我经常看到的地址以“ adclick.g.doubleclick.net/”开头。
您也可能会获得与真实链接无关的公司地址。**
尽管我'确保此网站合法,如果我有一封电子邮件告诉我使用这样的链接来取消订单,那么这显然是骗局。
*这可能会显示为另一个类似的名称,例如视浏览器而定'检查'
评论
仅当您在Web浏览器中阅读电子邮件时,这显然才有效。
–用户
17年9月21日在19:53
出于安全性的考虑,我既不会在网络浏览器中阅读专业电子邮件,也不会在能够自动在网络浏览器中发送任何HTML代码的软件中阅读我的专业电子邮件。复制URL之前,我看到了它的来源(实际上,我没有看到显示的值,如“ Click here!”),并确定它确实是重要的信息。
– dan
17年9月23日在21:49
#9 楼
这可能只是纯粹的ped脚,但没有:没有确定的方法可以判断电子邮件是否是网络钓鱼尝试。假设尼日利亚公主确实需要协助转移大量资金国家的;进一步假设她在这个世界上没有其他人可以求助了,并且确实沦落为向所有陌生人发送电子邮件。在这种情况下,用户可以从尼日利亚公主那里收到合法的帮助请求,但这仍然与经典的网络钓鱼消息相同。
(上述示例的非-脚应用是询问自己是被误报还是误报所困扰,这将告诉您实施过滤器的严格程度。)
评论
再说一次,这可能仅仅是ped脚,但从技术上讲,预付费欺诈并不是网络钓鱼。因此,只要尼日利亚公主限制自己要求您发送1000美元的手续费,才能将自己的巨额财产释放给您,她的电子邮件就不会与网络钓鱼尝试混淆;-)
–史蒂夫·杰索普(Steve Jessop)
17/09/21在13:54
如果您想做书呆子:从来没有尼日利亚的王子。自1960年成立以来,尼日利亚一直是民主国家或由军政府统治。尼日利亚有很多地方,当地的传统统治者被称为国王或苏丹等。但我想他们会对自己的遗产感到骄傲,以至于自称该地区的王子,而不是尼日利亚的王子。
–汤姆
17年9月24日在5:01
#10 楼
如果电子邮件中包含链接,则可以通过在私人浏览窗口中打开电子邮件进行一些基本检查。在开始之前,请确保您的私人浏览窗口尽可能安全。至少,请确保您的浏览器已完全更新。您可能还希望禁用Javascript,在Firejail等沙箱中运行浏览器,甚至在虚拟机中隔离它(使用VirtualBox或类似工具)。
现在在私有浏览窗口中打开链接。页面加载后,检查地址栏。确保主机名(在现代浏览器中,该地址的该部分通常比其余部分暗)与您希望访问的站点匹配。主机名中最重要的部分(也是攻击者最难模仿的部分)是从组织名称开始的末尾部分。因此,如果您在书签中获得的链接是www.facebook.com,则login.facebook.com可能没问题,但www.facebook.example.com或www.facebook.biz却不行。
请检查该站点是否具有有效的证书-在大多数现代浏览器中,地址栏中或地址栏附近都有绿色的挂锁。如果它丢失了(红色,黄色或灰色),那么即使您能够证明它是正确的地址,也可能不应该登录此站点。
接下来,如果您到达的页面有一个登录选项,请使用它,但要使用无效的凭据。网络钓鱼攻击通常不会进行任何尝试来验证您输入的凭据,而真实站点会进行任何尝试。如果它没有提醒您凭据无效,则可能是网络钓鱼攻击。
最后,如果您可以避免使用电子邮件中的链接,请这样做。如果您在书签中有指向该站点的链接,或者可以通过其他方式获得受信任的地址,请改用该地址登录。
评论
因此,关于接收您认为可能是恶意的电子邮件的建议是打开其中的链接?这似乎是一个可怕的主意。如果虚假网站在您与真实网站之间居中运作,那么私人浏览窗口将无法保护您免受恶意软件的侵害,并且您使用无效证书的方案将失败。
–David Richerby
17年9月21日在0:20
好吧,从技术上讲,我想的问题是如何识别网络钓鱼,而不是如何避免偷渡式下载。如果您可以冒险绕过前者,从而提高了使用前者的机会,那么我个人不赞成这样做,但发问者可能有备用PC,因此以后不介意刻录;-)
–史蒂夫·杰索普(Steve Jessop)
17/09/21在12:24
如果您使用的是最新的浏览器,则过分下载不太可能成为问题,尽管某些浏览器在安全性和隐私性方面当然比其他浏览器更好。我会充实一点。中间人是一个问题,但是在实践中,我从来不知道攻击者会正确地做到这一点。鉴于票数最高的答案建议您检查拼写错误,因此我认为检查攻击者很少弄错的技术要点是合理的。
–James_pic
17年9月21日在15:54
在您加载链接页面时,发件人可能非常清楚您的电子邮件地址是有效的并且受到监视。这对于将要出售的电子邮件地址列入清单更加有价值。任何人都可以拿出随机的电子邮件地址,但是要花更多的精力(并增加垃圾邮件发送者的回报率)才能真正确认它们是否有效。
–用户
17年9月21日在19:57
#11 楼
不像您所要求的那样普遍。问题不仅仅在于网络钓鱼邮件。查看来自Twitter,Amazon,PayPal等其他合法发件人的邮件。其中许多使用不良做法。将
https://mysite
链接到https://mysite-mailtracking.com/asdf
,在邮件中使用复杂的HTML,使用不同的域作为主要服务域,邮件发件人域以及它们在邮件中提到的域,并在图像中而不是文本中放置大量信息。当您想以想要查看其网络钓鱼情况的专家身份对其进行测试时,一种方法是“在受保护的浏览器中单击,观察您重定向到哪个域,如果该域与您手动登录时获得的表单相匹配,并且打开表单”。但是,对于那些喜欢简单得多的东西的用户来说,这没什么好建议的。
所以这里的合理建议是:忽略邮件中的任何内容,但发生了什么,并像每天一样使用浏览器登录。大多数服务会告诉您邮件希望您知道什么,因为当今的用户使用网站/应用程序的频率比阅读邮件的频率高。
#12 楼
专业的安全公司通常可以几乎确定地确定电子邮件是否是网络钓鱼。这可能对普通用户没有用,但是他们的做法如下:电子邮件来源
电子邮件包含一系列标头,显示邮件中继的IP地址。可以对它们进行分析以识别发送者的IP地址。这应该是合法的组织。如果它是ToR出口节点,则高度可疑。
在某些情况下,源是不确定的,例如第三方邮件提供商。在这种情况下,公司会与邮件提供商和合法组织进行对话,并且通常可以解决此问题。
他们还将查看源电子邮件地址,并可能检查合法邮件的外发电子邮件日志公司。
电子邮件内容
通常,网络钓鱼电子邮件具有指向不是合法组织所有的网站的链接,并要求提供登录详细信息。该域名可能具有欺骗性(例如,mybank-secure.com与myback.com无关),外观类似(例如,大写字母,我看起来像小写字母l),或者可能使用了跨站点脚本或会话之类的攻击注视以显示合法域。为了处理所有这些问题,将以纯文本形式手动分析电子邮件源,并详细调查所有域的所有权。在某些情况下,这可能是使用不当行为的合法电子邮件-但最好还是不要输入您的详细信息!
邮件中可能还包含恶意软件。在任何附件上运行防病毒软件都是一个开始。但这可能是抵抗病毒的多态或零时差恶意软件。相反,手动分析将尝试识别任何看起来可疑的东西。具有创建OLE对象的onload宏的Word文档可能不会触发防病毒软件-但这肯定是可疑的。
同样,这并不总是结论性的。对于某些鱼叉式网络钓鱼,可能无法将合法内容与欺诈性内容区分开。如果有人在卖东西,并且在付款之前收到一封电子邮件,说“实际上,把钱寄到这里...”-仅此内容对您没有帮助,您需要检查来源。
我从未被要求这样做,但我希望大多数法证公司会不时这样做。在大型组织中,有时会在未经适当授权的情况下将大量电子邮件发送给客户。也许这样的电子邮件被报道为网络钓鱼,那么原始组织需要确定发生了什么。如果发生这种情况,则表明该组织对客户电子邮件的控制不力,但这不足为奇。
反网络钓鱼建议
将您的网站标记为书签关心-您的银行,信用卡等。如果您收到他们的电子邮件,请不要单击该链接;而是使用您的书签。这种简单的预防措施可以消除绝大多数网络钓鱼攻击。
评论
如有疑问,请要求发送者带外。这是一个确定的解决方案,但扩展性不是很好。@eckes:我很少尝试过这种方法,但是在与那些其代表经常不知道另一个部门的情况的公司打交道时,我对这是一个确定的解决方案并不乐观。实际上,我只是想起一家非常知名的银行尽管证明是合法的却无法验证其信中电话号码的情况。走吧。
如果存在“确定的方式”,则邮件运营商会将其合并到垃圾邮件过滤器中。
确定的方式?单击链接,提供您的个人数据,然后等待。如果发生奇怪的事情(您的银行帐户被耗尽,未经您的同意就使用了您的个人数据,您因发送从未发送过的消息而被捕,突然意识到您现在已订阅了从未要求的服务),那么,那是网络钓鱼
FWIW,我认为X-Y问题的“真实”答案是:不要采取任何依赖于其正确性的措施,即您刚刚收到的电子邮件是否是网络钓鱼尝试。这样一来,您就无需分辨差异。例如,即使您刚收到的电子邮件确实来自银行,也请不要单击其中的链接,然后键入您的登录详细信息。而是转到银行的站点,登录,然后找到一种方法导航到电子邮件告诉您的去向,或者作为最后的选择,使用电子邮件中的链接,但不要再次在其目的地登录。