web-dev-qa-db-ja.com

メールがフィッシングであるかどうかを確認するための明確な方法はありますか?

メールがフィッシングであるかどうかを確認するための明確な方法はありますか? 「平均的なコンピューター」ユーザーがフィッシングメールを検出するためにどのような手掛かりを使用する必要がありますか?

75
daikin

誰かがフィッシングの試みを特定できる技術的および非技術的な方法がいくつかあります。

  • 帯域外で通信します。最も簡単な信頼できる方法は、提案された送信者と帯域外で通信することです。それらを呼び出して、該当する場合は何のアプリかを知らせて、信号を出します。組織または個人があなたにメールを送信しなかった場合、彼らは電話であなたに伝えることができます。メールに記載されていない電話番号を使用することを忘れないでください。
  • 校正-大量のスピアフィッシングでさえ、ほとんどのスパムは非常に貧弱に書かれています。不適切に構成された文とスペルミスは、スパムのかなり良い指標です。
  • リンクにカーソルを合わせる-フィッシングリンクは通常、ログインページにリンクしているように見えるように「難読化」されます。たとえば、テキストは https://login.facebook.com のようになりますが、リンクにカーソルを合わせると、長い詳細なドメイン名であることがわかります。フィッシング詐欺。

    編集:MehrdadとBacon Bradが指摘したように、この方法は混合した結果を提供する可能性があります。リンクは、CSRF/XSS攻撃などのさまざまな攻撃で使用される可能性があり、提供されたリンクは、承認された第三者につながる可能性もあります。

  • 電子メールヘッダー-電子メールが正当であるかどうかを判断する、より技術に精通した方法の1つは、おそらく E-メールヘッダー 。電子メールには、電子メールの発信元を示すメタデータが含まれています。通常、電子メールがこれらのヘッダーを持つ認証されたソースから発信されたものかどうかは、電子メールヘッダーを調べることでわかります。多くの組織がメールキャンペーンを外部委託している可能性があるため、これは間違いではありません

  • Macros-送信されたばかりのWordドキュメントには、ドキュメントを表示するためにマクロを有効にする必要があると記載されていますか?あなたはそれをしに行きませんか。
  • ソーシャルエンジニアリング-多くのフィッシングメール戦術が人間の感情を刺激し、多くのよく知られたソーシャルエンジニアリング技術を採用します。 「このリンクをクリックして、24時間以内に銀行口座を再度有効にする必要があります。そうしないと、口座が閉鎖されます」などの発言は、受信者をパニック状態にするためのものです。パニックになるとき、私たちは非論理的な決定をします。メールが感情的になったと感じる場合は、フィッシングされている可能性があります。
  • これは通常の動作ですか?-組織はフィッシングの方法に精通しており、そのため、組織内の埋め込まれたリンクをクリックするように求めません。 「パスワードをリセットする」または「アカウントを確認する」ための電子メール。スパイの感覚がチクチクする場合は、おそらくフィッシングです。

私の経験では、フィッシングに対処するための特効薬はありません。侵入テスト中、スピアフィッシングは常に機能します。上記の情報は、フィッシングの試みを見つけるのに役立ちますが、フィッシングの試みを確認または拒否する最も簡単で効率的な方法は、「送信者」に電話をかけて正当なものかどうかを確認することです。

95
DKNUCKLES

それはあなたにそれをするように求めている当事者の身元を認証せずにあなたがしてはならないことをするようにあなたに頼みますか? (「パスワードの入力」はそのような行為であることに注意してください!)その場合、メールは認証されないため、送信者の動機に関係なく、効果的にフィッシングとして扱うことができますしたがって、特権アクションを要求する適切な手段ではありません。

フィッシングメールを特定するための完璧な方法はありません。メールを送信したユーザーとその理由を常に正しく伝える手順という意味では、フィッシングメールはありません。実際には、実際のフィッシングメールの非常に大多数は、それらがほとんどかなり中途半端なものです。そのため、受信トレイに届かないものがあるため、かなり簡単にそのように識別されます。電子メールプロバイダーのフィルターでさえ明らかにそれらを発見したが、毎回確認できる電子メールの「明確な」一連の機能はありません。

メールがフィッシングであるかどうかを判断する代わりに、受信したメールがフィッシングであるかどうかの正確さに依存するアクションを実行しないでください。そうすれば、違いを見分ける必要がなくなります。

たとえば、受け取ったメールが実際に銀行からのものである場合でも、そのリンクをクリックしてログインの詳細を入力しないでください。代わりに、覚えているURLを入力するか、ブックマークを使用して、銀行のサイトにアクセスしてください。次にログインし、メールで指示された場所に移動する方法を探します。銀行のサイトがひどいので最後の手段として、ログイン後、メールのリンクを使用できますが、しない宛先に再度ログインしないか、他の機密情報をあきらめてください。ただし、次のことに注意してください。攻撃フィッシング以外=、これは、悪意のあるページにアクセスするだけで、機密情報をあきらめることなく、自分にさらされる可能性があります。

これは通常の金融/ショッピングフィッシングの試みで機能します。残念ながら、それが実用的でない場合があります。才能のあるスピアフィッシング業者が、おそらく競合他社のために働いており、雇用主のドメインに似たドメインで打ち打ち、上司から送信されたように見えるメールを実際のメールフッターを使用して送信するとします。ジェンキンスピッチで引用するには?」会社のメールに返信するたびに(1日に数十回)、送信先のアドレスに注意深く目を細めて、youremp1oyer.comやyourempIoyerではなく、実際にyouremployer.comであることを確認するのは現実的ではありません。 comまたは(天国を恐れる)youremploуer.com[*]。電子メールクライアントは、電子メールアドレスが個人のアドレス帳または会社のディレクトリに既に存在するかどうかを視覚的に示すという点で、役立つ場合とそうでない場合があります。

違いは、雇用主が何らかの理由で機密情報を伝達する手段として電子メールを使用することを決定したことです。一方、銀行は別の決定をしました。 および発信元への機密性の高い通信の適切なチャネルは、銀行のWebサイト、電話アプリ、または電話(銀行からの電話を信頼してはいけません)、または特定の事柄を郵送することです。または直接。ですから、あなたの銀行からの、またはあなたの銀行からのものであると思われる電子メールを信用しないでください。銀行のサイトにリンクすることさえ信用しないでください。代わりに、信頼できるチャネルを使用することをプロンプトと見なしてください。

[*]最初の1つは簡単です:小文字のLの数字1。2番目は多くのフォントでは少し難しいです:小文字のLの大文字のI。3番目は小文字のローマ字Yを小文字のキリル文字Yに置き換えます。メールクライアントがそれをレンダリングする場合おそらく、見た目では違いを見分けることができないでしょう。

14
Steve Jessop

多くのフィッシングメールは明白ですが、より巧妙なフィッシングを検出する明確な方法はありません。そして巧妙なフィッシングが増加しているようです。

デジタル署名、DMARC(DKIM + SPFを含む)など、送信者が主張しているものであるかどうかを確認するのに役立つテクニックがあります。ただし、これらは送信者サイトで使用し、受信者サイトで確認する必要があります-どちらも多くのケースで不足しているか、(不必要に)複雑になっています。

メールがすでに知っている送信者からのものであると主張している場合、メールを以前に受信したものと比較して、送信者の同じメールアドレス、同じトランスポートパス(メールの受信ヘッダー)、同じメールなどのさまざまな機能について確認できます。クライアント....これらの機能の多くはメールのソースコードでのみ表示され、これらの多くは抽出して比較するための専門知識を必要とするため、平均的なユーザーはこれを行うことができません(ほとんどの場合、時間とモチベーションの欠如は別として) )。

最新のブラックハット会議でこのトピックについての最近の講演をご覧になることをお勧めします: 魚類学:科学としてのフィッシング

5
Steffen Ullrich

とても難しいので、試してみる価値はありません。

はい、検出を大幅に増やす方法があります。しかし、それらのいずれもフィッシャーに打ちのめされています。

  • 壊れた英語-彼らは、本物のウェルズファーゴのメールを取得し、URL /詳細を変更する必要があるだけです。
  • Received:ヘッダー-Wells Fargo内でanyボックスanywhereをクラックするだけで、公式のSMTPサーバーにアクセスできます。
  • ホバーリンク(実際のリンク先)-率直に言って、企業はこれらすべてを無価値にしている---公式コンテンツの ランダムなドメイン名を取得
  • フィッシングメールが日常的に見える場合、つまり「毎月の口座明細はこちら」のように表示されている場合、正常性とソーシャルハッキングは機能しません。

申し訳ありません。それらを区別することはできません。あなたができることを自分に納得させることは、盲目になるための最も確実な方法です。成功するためには、毎回正しく理解するでなければなりません。 彼らは一度だけラッキーである必要があります。

簡単な代替手段がある場合、毎回それを正しくすることは努力するだけの価値はありません。

それらすべてを疑わしいものとして扱い、帯域外に出てください。

銀行からのメールにあるリンクをクリックすることはありません。これは長い習慣です。**私は銀行のメールをくすぐりとしてのみ処理して、おそらく私のアカウントをチェックします別のアプリで、または電話、または単に立ち入ります。

さて、電話はあなたに現実のチェックを強制します:このメッセージは他の人間に迷惑をかけるほど信じられるか重要ですか「いいえ、あなたのアカウントはロックされていません。なぜそれを行うのですか?」


**部分的には、それは私のプラットフォームが原因です。モバイルでは、銀行専用のアプリを持っていますが、彼らのWeb UIを使用する理由はありません。デスクトップでは、JavaScriptを無効にしたFireFoxでウェブメールを送信しているため、銀行のサイトが機能しないため、リンクをクリックしてca n'tをクリックします。これにより、ブラウザを切り替えて移動する必要があります。クリックリンクをコピーして貼り付けることもできます本当にしたい場合-しかし、本当にそうではありません。つまり、パスワードリセットのメールでそれを行いますが、そうなることを期待しています。

私には1つの決定的な方法があり、15年以上にわたってクラップウェアの連続的なフローを受け取ってからだまされませんでした。最小限のトレーニングがなくても、すべてのユーザーに適しているかどうかはわかりませんが、シンプルで無料で、すべての新しいフィッシングテクノロジーで多くのバプテスマを受けられたので提供します。

疑わしい電子メールのヘッダーの完全なソースを読んだだけです。疑わしい電子メールで、既知の同僚から直接専門家アドレスから送信された電子メールも検討します私はリクエストを見るので、私はに準拠するために彼のアイデンティティをチェックする必要があります彼の要求。 Rからの短いが印象的な答え を参照してください。

たとえば、姉のアリスから彼女の実際の職業アドレスから送られ、ウエスタンユニオンへの送金を依頼する電子メールニカラグアでの彼女の住所に、彼女はすべてを盗まれました。完全なヘッダーソースを確認したところ、最初に使用されたIPアドレスはプライベートIP(192.168.1.217)であり、最初のパブリックIPアドレスはナイジェリアにあることがわかりました。この電子メールは彼女の実際のアカウントが認証されて送信されたことに気づき、パスワードが盗まれた(通常のフィッシング攻撃により)ことをCISOに警告することができます。

これらのひどいヘッダーを読み取るトレーニングを行うことで、ソースIPの場所を確認する必要さえなくても、15秒未満でそれらを認識することができます。

3
dan

いいえ、フィッシングメールを特定するための確実な方法はありません。

もしあれば、この方法でソフトウェアにプログラミングし、すべてのメールサーバーにインストールすれば、問題は解消されます。

手がかりの長いリストがあります-他の答えはそれらをリストするのに良い仕事をします-しかし、フィールドは常に変化し、リストは完璧ではありません。幸いなことに、ほとんどのユーザーはだまされやすく、フィッシングメールの作成者は多くの労力を費やす必要がないため、ほとんどのフィッシングメールはアマチュアによって作成され、ある程度の経験があれば簡単です。

ただし、特にスピアフィッシングの場合は、非常によくできたフィッシングメールがいくつかあります(つまり、個人を標的とし、ITに熟練し、教育を受けていることが多い)。 10年前の一部の調査(リンクを覚えていません)では、ITプロフェッショナルでさえ、約30%の確率で、フィッシングメールをうまくやり遂げていました。

また、何が起こっているのかを確立するためにかなりの努力を拡大した場合、詐欺師はすでにあなたの時間を浪費することに成功していることに注意してください。ヘッダーやその他の記載されたエクササイズを研究することは、毎日200通のメールを受信しない人のためのものです。

2
Tom

上記のすばらしい答えに加えて、良い手がかりを与える別の方法は、ページ上のリンクを右クリックして(左クリックしないでください!)、[要素の検査] *を選択することです。

これが偽のメールである場合は、意味のないメールアドレスが表示されます。私がよく目にするものは「adclick.g.doubleclick.net/」で始まります。また、本物のリンクのように見えるものについて、無関係な会社のアドレスを取得することもあります。**

このWebサイトは合法であると確信していますが、このようなリンクを使用して注文をキャンセルするように指示するメールがある場合、これは明らかに詐欺です。

*これは、ブラウザによっては、「検査」のような別の同様の名前で表示される場合があります

**疑わしいリンクがなくても、本物のメールにはなりません。その他の確認事項については、他の回答を参照してください

1
user27158

メールにリンクが含まれている場合、プライベートブラウジングウィンドウで開くことで実行できるいくつかの基本的なチェックがあります。

開始する前に、プライベートブラウジングウィンドウができるだけ安全であることを確認してください。少なくとも、ブラウザが完全に更新されていることを確認してください。また、JavaScriptを無効にしたり、Firejailなどのサンドボックスでブラウザを実行したり、仮想マシンに分離したりすることもできます(VirtualBoxなどを使用)。

次に、プライベートブラウジングウィンドウでリンクを開きます。ページが読み込まれたら、アドレスバーを確認します。ホスト名(最新のブラウザでは、アドレスのこの部分は通常、他の部分よりも暗い)が、到達する予定のサイトと一致していることを確認してください。ホスト名の最も重要な部分(および攻撃者が偽装するのが最も難しい部分)は、組織名以降の最後の部分です。したがって、ブックマークにあるリンクがwww .facebook.comである場合、login .facebook.comはおそらくOKですが、www .facebook .example.comまたはwww .facebook.bizではありません。

サイトに有効な証明書があることを確認します。最新のほとんどのブラウザでは、アドレスバーの中または近くに緑色の錠前アイコンがあります。行方不明、赤、黄、または灰色の場合は、正しいアドレスであることを証明できたとしても、おそらくこのサイトにログインすべきではありません。

次に、到達するページにログインオプションがある場合は、それを使用しますが、機能しない認証情報を使用します。フィッシング攻撃では通常、入力した資格情報を検証しようとしませんが、実際のサイトでは検証します。資格情報が無効であることを警告しない場合は、おそらくフィッシング攻撃です。

そして最後に、メール内のリンクの使用を回避できる場合は、そうしてください。ブックマークにサイトへのリンクがある場合、または他の方法で信頼できるアドレスを取得できる場合は、代わりにそのアドレスを使用してログインしてください。

1
James_pic

これは単なる略奪行為かもしれませんが、いいえ。メールがフィッシングの試みであるかどうかを判断するdefinitive方法はありません。

ナイジェリアの王女が実際に国外に多額のお金を送金する際に援助を必要としていたとしましょう。さらに、彼女には世界中に誰も頼ることができず、実際に完全に見知らぬ人に電子メールメッセージを送信することに減ったと仮定します。このような状況では、ユーザーはナイジェリアの王女から正当な支援要請を受け取ることができますが、それでも古典的なフィッシングメッセージと同じです。

(上記の例の非営利的なアプリケーションは、偽陽性または偽陰性に悩まされているかどうかを自問することです。これは、実装するフィルターの厳密さを通知します。)

1
adam.baker

あなたが求めているような一般性ではありません。そして問題はフィッシングメールだけではありません。 Twitter、Amazon、Paypalなどの正当な送信者からのメールをご覧ください。

それらの多くは悪い習慣を使用しています。リンク中https://mysitehttps://mysite-mailtracking.com/asdf、メールで複雑なHTMLを使用し、メインサービスドメインとして異なるドメインを使用し、メール送信者ドメインとメールで言及するドメインを使用して、テキストではなく画像に多くの情報を配置します。

フィッシングの方法を確認したいエキスパートとしてテストする場合、メソッドは「保護されたブラウザでクリックし、リダイレクトされるドメインを監視します。これが手動でログインして取得したフォームと一致するかどうかを確認します。フォームを開きます。」しかし、それははるかに単純なものに陥るユーザーに提案するものではありません。

したがって、ここでの合理的なアドバイス:メールの内容はすべて無視しますが、何かが発生した場合は、毎日のようにブラウザーでログインします。今日のユーザーはメールを読むよりもウェブサイトやアプリをよく使うので、ほとんどのサービスはメールがあなたに何を知りたかったかを教えてくれます。

0
allo

プロのセキュリティ会社は、通常、メールがフィッシングかどうかをほぼ確実に判断できます。これは平均的なユーザーには役立たないかもしれませんが、以下はその方法です。

メールの送信元

メールには、メールリレーのIPアドレスを示す一連のヘッダーが含まれています。これらを分析して、送信者のIPアドレスを特定できます。これは正当な組織であるべきです。それがToR出口ノードである場合、それは非常に疑わしいです。

サードパーティのメールプロバイダーなど、Originが決定的でないシナリオがあります。その場合、会社はメールプロバイダーと正当な組織に話しかけ、通常はこれを解決できます。

また、送信元のメールアドレスを確認し、正規の会社の送信メールログを確認することもできます。

メールの内容

通常、フィッシングメールには、正当な組織が所有していないWebサイトへのリンクがあり、ログインの詳細を要求します。ドメインが不正であるか(mybank-secure.comはmyback.comとは関係ありません)、類似している(大文字の小文字のlのように見えるなど)か、クロスサイトスクリプティングやセッションなどの攻撃を使用している可能性があります正当なドメインを表示するための修正。これらすべてに対処するには、電子メールソースをプレーンテキストとして手動で分析し、すべてのドメインの所有権を詳細に調査します。場合によっては、これは悪い習慣を使用した正当なメールである可能性があります。

メールにはマルウェアも含まれている可能性があります。添付ファイルでウイルス対策ソフトウェアを実行することから始めます。しかし、これはアンチウイルスに抵抗するポリモーフィックまたはゼロデイマルウェアである可能性があります。代わりに、手動分析では、疑わしいと思われるものをすべて識別しようとします。 OLEオブジェクトを作成するonloadマクロを含むWord文書は、ウイルス対策ソフトウェアをトリガーしない可能性がありますが、疑わしいものです。

繰り返しますが、これは常に決定的であるとは限りません。スピアフィッシングの種類によっては、正当なコンテンツと不正なコンテンツを区別できない場合があります。誰かが何かを売っていて、支払いの直前に「実際には、ここにお金を送ってください...」というメールを受け取った場合-コンテンツだけでは役に立たないので、Originを確認する必要があります。


私はこれを行うように求められたことはありませんが、ほとんどのフォレンジック企業が時々行うことを期待しています。大規模な組織では、適切な承認なしに大量のメールが顧客に送信されることがあります。おそらく、そのようなメールはフィッシングとして報告されたので、元の組織は何が起こったのかを解明する必要があります。これが発生した場合、それは組織が顧客の電子メールに関して不十分な制御を持っていることを示していますが、それは大きな驚きではありません。

フィッシング対策のアドバイス

気になるサイト(銀行、クレジットカードなど)をブックマークします。それらからメールを受け取った場合は、そのリンクをクリックしないでください。代わりにブックマークを使用してください。この単純な予防策は、フィッシング攻撃の大部分を無効にします。

0
paj28