web-dev-qa-db-ja.com

メールフィッシング防止策としてのURLの編集?

大規模な組織(市の職員など)では、フィッシング攻撃を防ぐために人間の行動に依存することは、ほとんど効果的ではありません。これは多少不便ですが(セキュリティは通常です)、メールクライアントがメッセージ内のすべてのURLを編集する方法を考えています。 URLを非アクティブにするだけでなく、完全に削除します。たとえば、次のようなもの:

ここをクリックして、固定資産税に関する新しいレポートをご覧ください。

[削除されたURL]

本当に新しいレポートがあり、市のスタッフが本当にそれを確認したい場合は、Webサイトにアクセスしてレポートを追跡できます。ユーザーがパスワードマネージャーまたはブックマークを介してWebサイトにアクセスした場合、実際のサイトの代わりに偽のサイトに到達することはできません。 (ユーザーが慣れていないためにログインできないサイトを含むフィッシング攻撃は、フィッシング攻撃にはなりません。)

すべてのフィッシング攻撃が電子メール内のURLに関係しているわけではありませんが、おそらく99%がURLに関係していると思います。

これがフィッシング攻撃を減らすのに効果的だと思うかどうかについてコメントをいただければ幸いです。私が知っているように、URLが存在しないことが不便であるかどうかにはあまり興味がありません。

(電子メールクライアントを強制的にテキストモードで動作させると、リンケージが削除されるだけです。URLはそのまま残ります。)

21
Marc Rochkind

まず、使いやすさの悪夢です。

第二に、それはそれが主張する問題を修正することすらしません。 「通常の」クライアント向けに設計されたフィッシングメールには効果的ですが、そのようなシステムを騙すように設計された攻撃はおそらくさらに効果的です。

そのようなネットワークのユーザーは、URLを参照するためにあらゆる種類の代替方法を使用することに慣れています。私がこの質問にリンクして、私の回答を賛成してほしいと思ったとしましょう。あなたが私に書くことを許可していないからです https://security.stackexchange.com/questions/215871/redacting-urls-as-an -email-phishing-preventative 私は言うことができます:

  • security.stackexchange.com/questions/215871/redacting-urls-as-an-email-phishing-preventative
  • https:/ /security.stack exchange.com/questions/215871/redacting-urls-as-an-email-phishing-preventative
  • セキュリティSEの質問215871に移動
  • bitly 2ZoZiTS
  • 個人のメールに送信されたリンク
  • 555-0123までお電話ください。実際のURLをお伝えします
  • 「URLをメールフィッシング防止策として編集する」を検索します。 Googleで
  • 最後のアクティブな質問を見る
  • ホテルタンゴタンゴパパシエラコロンダブルスラッシュシエラエコーチャーリーユニフォームロメオインドタンゴヤンキードットシエラタンゴアルファチャーリーキロエコーxrayチャーリーホテルアルファ11月ゴルフエコードットチャーリーオスカーマイクスラッシュケベックユニフォームエコーシエラタンゴインドオスカー11月シエラスラッシュ2 1 5 7ワンスラッシュロメオエコーデルタアルファチャーリータンゴインド11月ゴルフダッシュユニフォームロメオリマシエラダッシュアルファシエラダッシュアルファ11月ダッシュエコーマイクアルファインドリマダッシュパパホテルインドシエラホテルインド11月ゴルフダッシュパパロメオエコービクターエコー11月タンゴアルファタンゴインドビクターエコー
  • 添付ファイルで送信されたURL

一部の悪意のあるメールは、電子メールフィルターをバイパスする[しようとする]方法として添付ファイルのURLをすでに使用していることに注意してください。 「添付ファイルからもURLを削除するだけだ」と思うかもしれませんが、ユーザーが編集したドキュメントが電子メールシステムによって静かに破損すると、混乱を招きます。書式設定もどこでも壊れる可能性があります。言うまでもなく、そのような作業には、ほぼすべての既存のファイル形式を(適切に)認識して編集できる必要がある場合があります。

さらに、法務部門は、編集がいかに無害であっても、(電子メールの添付ファイルとして受信した)請求書を完全に変更することを完全に禁止します。

また、忘れたパスワードの復旧リンクなども、ユーザーにとってまったく機能しません。

しかし、私見の主な問題は、ユーザーがあらゆる種類の奇妙な回避策を実行するように「トレーニング」され、そのようなフープを通過させた「隠されたURL」が疑いを引き起こさないことです。

(そして Joseph Sibleによる注記 のように、スパム対策フィルターは難読化されたURLを検査できません)

いくつかの例:

  • ユーザーにGoogleで「StackExchangeBankブロックされたクレジットカード」を検索するようにします。次に、珍しい単語を使用したり、広告を購入したりして、StackExchangeBankのフィッシングページを一番上に表示します。
  • 私に電話して、他の方法でフィルタリングされるURLを教えてくれたら、フィッシングページに送って、単なるソーシャルメールよりも信頼できるようにするためのライブソーシャルエンジニアリングを追加します。
  • URL短縮サービスを介してそれらを送信します。ユーザーはそれがどこに送信されるかわからない
  • リストのn番目の質問は明らかに変化するため、ユーザーが尋ねた「正当な」質問に到達することをユーザーが保証するのではなく、代わりに、彼が到達すると予想された質問に「なりすまして」別の質問に投票します。

より健全なアプローチは、あなたがあなたのリダイレクトサービスを通過するようにURLを変更することでしょう。一部の電子メールセキュリティフィルターはすでにそれを行っています。このようにして、ユーザーがリンクをクリックしたときにブラックリストにリストされているかどうかを確認できます(メールが受信されなかった場合)。 、したがってアクセスをブロックします。また、ホワイトリストに登録されていないサイト(資格情報を持っているサイトのみ)にアクセスしようとしたときに、安全なWebサイトにアクセスしないという大きな恐ろしい警告が表示される場合もあります。さらに、ユーザーが実際にプロキシでホワイトリストに登録されたサイトよりも多くのサイトへの資格情報を持っているため、警告が表示されず、合法的なサイトが新しいドメインにコンテンツを公開することを決定するため、このようなアプローチには多少欠陥があります(これにより、明らかにホワイトリストに表示されます)。誤検知が多すぎる場合、ユーザーが受け取るのは「正常」であるため、ユーザーはそれらにほとんど注意を払わないことになります。

59
Ángel

これは良い考えではありません。まず、「やや不便」というのは非常に控えめな表現です。また、 AviDの使いやすさのルール がここに適用されます:コンピューターが理解するURLの代わりに、URLを入力する方法の説明が表示されます。フィッシングサイトへ。

フィルターを回避するために人間が英語でURLを記述できることに加えて、これは、e-から送信されたURLを受信できることに依存しているあらゆる種類の自動化された電子メール検証、アカウントチェック、およびパスワードリセットシステムを壊します。アドレスの所有権を確認するためにメールを送信します。これらのシステムのいくつかは、フォームにコピーアンドペーストできるコードを提供しますが、多くのシステムはURLのみを提供します。

このシステムを使用しているユーザーは、さまざまなWebサイトで新しいアカウントを開くことができず、サービスプロバイダーが電子メールの確認を要求するとすぐに、既存のアカウントからロックアウトされる可能性があります。新しいデバイスにログインします。

7
interfect

(免責事項:私はトップの電子メールセキュリティソリューションの1つに取り組んでいます。この投稿はベンダー中立であることを意図しています。)

少なくとも主要な2つのエンタープライズグレードの電子メールセキュリティゲートウェイは、ユーザーがリンクをクリックしたときに実行される追加のセキュリティレイヤーを通じてURLを書き換える機能を提供します。これは、リンクを完全に編集するよりも安全な方法です。これらのソリューションには、追加のセキュリティチェックと、クリックされたリンクの1つが悪意のあるものになった場合の修復のためのレポートが組み込まれており、infosecチームが損傷を制御できるようにします。

独自の RL Shortening サービスを設定し、疑わしいフィッシング(またはユーザーを不快にする可能性があるものすべて)からのリンクを書き換え、マッピングをチェックすることで、この貧弱なバージョンを実装できます RI DNSBLs リダイレクト中または定期的にcronジョブを使用して。

Ángelの答え が示すように、システムが認識できるURIの動作のみを書き換えます。これは包括的ではありませんが、うまくいけば、ユーザーのメールクライアントがクリック可能なリンクとしてレンダリングするものと非常によく一致します。

0
Adam Katz