it-swarm.com.de

Wie kann ich am besten auf Phishing-E-Mails antworten, die von einer Regierungsdomäne gesendet werden?

In den letzten Tagen habe ich zwei E-Mails von verschiedenen .gov-Adressen erhalten, die angeblich von Intuit stammen, und ermutige mich, auf einen Link zu klicken, um "den Zugriff auf Ihr QuickBooks-Konto wiederherzustellen". Sie geben nicht vor, Regierungsadressen zu sein. Wenn ich auf "Antworten" klicke, wird im Feld "E-Mail an" [email protected] angezeigt, genau wie in der E-Mail im Abschnitt "Von" angegeben.

Ich habe diese E-Mails an die von der FTC empfohlene Adresse für Phishing-Betrug weitergeleitet, möchte jedoch die beteiligten Agenturen darüber informieren, dass sie Konten kompromittiert haben. Gibt es eine einfache Möglichkeit, das zu tun? Ich habe auf der Website einer Agentur nachgesehen, aber es gab keinen Kontakt, der richtig schien (Texas Agriculture.gov).

Wäre es nützlich, diese Person (an die gefährdete Adresse) direkt per E-Mail zu kontaktieren? Ich möchte nicht den ganzen Tag damit verbringen, da ich arbeite. Ich möchte nur jemandem einen Kopf hoch geben. Ich hatte gehofft, dass es irgendwo eine Kontaktbox "Missbrauchte Regierungs-E-Mail melden" gibt, aber ich kann so etwas nicht finden.

22
gp782

Es ist wahrscheinlich, dass der from-Header gefälscht wurde. Ich bekomme ziemlich oft E-Mails von gefälschten .govs, meistens landen sie in meinem Spam-Filter. Der darin enthaltene Hyperlink ist entweder eindeutig und ermöglicht die Nachverfolgung oder liefert nur Malware. Meistens ignoriere ich diese einfach.

Wenn Sie der Meinung sind, dass der Header nicht gefälscht ist, können Sie sich in der Regel an die Agentur wenden, indem Sie deren Namen und Webmaster googeln oder Kontakt mit uns aufnehmen. Verwenden Sie die Phishing-E-Mail nicht, sie ist mit ziemlicher Sicherheit gefälscht.

48
AstroDan

Sie sollten auf Phishing von .gov-Adressen genauso reagieren wie auf jede andere Art von Phishing - das tun Sie nicht.

Antworten Sie nicht auf die E-Mail, klicken Sie nicht auf Links, öffnen Sie keine Anhänge, tun Sie nichts, was die E-Mail von Ihnen verlangt.

Wenn Sie wirklich großzügig sein möchten, überprüfen Sie die WHOIS-Einträge auf die Domain, von der die Nachricht stammen soll. Das kann Informationen darüber enthalten, wohin Missbrauchsberichte gesendet werden sollen. Sie können auch auf der Homepage der Regierungsbehörde nach einer technischen Kontaktadresse suchen.

Wenn diese nicht helfen und es Ihnen nichts ausmacht, im Dunkeln zu fotografieren, können Sie eine Nachricht an [email protected] oder [email protected] auf der Domain, von der die Mail angeblich stammt. Dies sind gängige Konten, die von Incident-Response-Teams in vielen Organisationen genau für diesen Zweck verwendet werden.

Wenn Sie einen Ansprechpartner finden, denken Sie daran, die Nachricht als Anhang weiterzuleiten - nicht nur inline. Auf diese Weise kann das Antwortteam die Nachrichtenkopfzeilen anzeigen und zusätzliche Metadaten erfassen, die sonst nicht verfügbar wären.

Seien Sie vorsichtig mit dem, was Sie behaupten. Wie andere bereits erwähnt haben, ist es sehr wahrscheinlich, dass die Nachricht nicht einmal von der Domain stammt, in der Sie glauben, dass sie es getan hat. Geben Sie einfach an, dass Sie die verdächtige E-Mail erhalten haben, und es erscheint, dass sie von ihrer Domain stammt. Lassen Sie sie herausfinden, ob dies tatsächlich der Fall ist und auf welcher Ebene (falls vorhanden) ihre Konten/Systeme tatsächlich gefährdet sind.

24
Iszi

Ich möchte die beteiligten Agenturen darüber informieren, dass sie Konten kompromittiert haben

Dies ist wahrscheinlich nicht wahr.

Unverschlüsselte, nicht signierte E-Mails sind kein sicheres System. Es basiert auf Daten, die der Mail-Client bereitstellt. Diese Daten werden als korrekt angenommen. Dieses Design ermöglicht es einem Angreifer, die Header-Daten (in diesem Fall den From-Header) zu fälschen, und der E-Mail-Client des Empfängers geht davon aus, dass die Daten maßgeblich sind.

Daher ist es weniger wahrscheinlich, dass die Agenturen Konten kompromittiert haben, und es ist wahrscheinlicher, dass die Person, die diese Phishing-E-Mails gesendet hat, den Header From an eine E-Mail-Adresse der Regierung gesetzt hat und gehofft hat, dass der Empfänger leichtgläubig genug ist, dies zu glauben.

12
ArtOfCode

Während der From: -Header in einer E-Mail abhängig von den Sicherheitseinstellungen Ihres eigenen Mail-Clients gefälscht werden kann, landen gefälschte Header normalerweise in Ihrem Junk-E-Mail-Ordner oder werden überhaupt nicht empfangen.

Abhängig von Ihrem eigenen Mailserver können Sie auch überprüfen, von welchem ​​Server die E-Mail stammt. Die SPF-Validierung vergleicht dies mit den Domäneneinträgen. Wenn keine Übereinstimmung gefunden wird, landet sie im Junk-Ordner.

Regierungsorganisationen würden wahrscheinlich auch die DKIM-Validierung für ihren E-Mail-Server verwenden (obwohl es äußerst unwahrscheinlich ist, dass es sich um S/MIME oder PGP handelt). Wenn die E-Mail einen gültigen DKIM-Header enthält, stammt dieser fast definitiv vom richtigen Mailserver. Dies bedeutet, dass der Spam-E-Mailer die ursprünglichen Benutzeranmeldeinformationen irgendwie erhalten hat, das Konto jedoch möglicherweise kompromittiert hat, ohne auf den Computer des Opfers zuzugreifen.

Abhängig von der Schwere des Angriffs würde das Sicherheitspersonal der Organisation meines Erachtens gerne von dem Verstoß erfahren, aber nur, wenn es tatsächlich einen gab. Wie andere gesagt haben, könnte es sich nur um einen gefälschten Header handeln, aber es gibt Möglichkeiten, wie Sie diese Dinge überprüfen können, abhängig von der Einrichtung der Ursprungsserver.

5
Waddles