当您意识到自己可能刚刚打开了一封网络钓鱼电子邮件时,您是否有过那种沉沦的感觉?欢迎来到俱乐部!🎣 这就像数字时代的一种仪式。
如果您没有成为至少一次网络钓鱼攻击的目标,那么您真的在使用互联网吗?🤔
但别担心,我已经为你准备好了。让我们深入了解我的个人工具包,以安全地分析那些讨厌的网络钓鱼电子邮件——因为谁不喜欢做好准备呢?
MITRE ATT&CK 框架探索 🎣🔍
网络钓鱼:T1566
子技术:T1566.001、T1566.002、T1566.003、T1566.004
根据 Verizon 2023 年数据泄露调查报告 (DBIR),网络钓鱼现在占社会工程事件的 44%。因此,如果您曾经觉得自己是唯一一个收到这些奇怪电子邮件的人,请不要害怕——在应对这种现代数字威胁方面,您绝对不孤单!
发现可疑电子邮件
-
检查发件人的电子邮件地址:仔细查看发件人的电子邮件地址。通常,网络钓鱼电子邮件使用模仿合法地址的欺骗性或略有改动的地址。
-
寻找通用的问候语或称呼:网络钓鱼电子邮件通常使用通用的问候语,例如“尊敬的客户”,而不是直呼其名。合法组织通常会个性化他们的通信。
-
点击前验证链接:将鼠标悬停在电子邮件中的任何链接上(不点击)以查看实际的 URL。检查是否存在拼写错误或与组织网站不匹配的奇怪域。
-
注意紧迫性或威胁:网络钓鱼电子邮件通常会产生紧迫感,如果您不立即采取行动,可能会产生后果。对要求采取紧急行动的电子邮件保持谨慎。
-
检查电子邮件内容是否存在错误:网络钓鱼电子邮件通常包含语法错误、拼写错误或尴尬的语言。来自信誉良好的组织的合法通信通常写得很好且没有错误。虽然,随着人工智能在写作方面越来越好,这可能不像以前那么可靠了!🤖📧
-
小心附件:避免打开来自未知发件人或意外电子邮件的附件。它们可能包含恶意软件或链接。
所以,你来了!
好了,理论已经够多了——让我们深入了解一下这些工具吧!
电子邮件标题分析
用于分析的工具:MX 工具箱、消息标头分析器
SMTP 信封头包含有关电子邮件来源的基本信息,包括发送服务器的 IP 地址和域。这有助于追踪电子邮件的物理来源,这对于在欺骗或冒充的情况下识别真正的发件人至关重要。
根据您的电子邮件服务或客户,找到查看邮件详细信息或电子邮件标题的选项。这通常位于“查看”、“更多”或“消息详细信息”等选项下。
要分析 SMTP 信封头,您需要复制电子邮件头并将其粘贴到 MX 工具箱中。
结果:
对于独立的 Message Header Analyzer,您还需要复制粘贴标头。但是,它也可以作为 Outlook 加载项安装,通过减少您需要执行的复制和粘贴量使生活更轻松。老实说,任何减少更多复制粘贴需求的东西都是胜利!
URLs 分析
用于分析的工具:Zulu ZScaler、Virus Total
Zscaler 使用 URL 过滤、恶意软件检测、SSL 检查和沙盒等各种技术来实时分析和缓解潜在威胁。
VirusTotal 是一项免费的在线服务,它使用多个防病毒引擎和 URL 扫描程序分析文件和 URL,以检测病毒、蠕虫、特洛伊木马和其他类型的恶意内容。VirusTotal 利用了来自各种网络安全公司的大量防病毒引擎和 URL 扫描器(目前超过 70 个)。每个引擎都使用自己的算法和病毒定义来检测恶意软件。提交文件或 URL 时,VirusTotal 会同时将内容分发到这些扫描引擎。
结果:
附件分析
用于分析的工具:病毒总量、混合分析
分析网络钓鱼电子邮件中的附件而不将其直接下载到本地计算机对于维护安全性至关重要。恶意附件可能包含有害软件,一旦下载,可以立即感染您的设备。然后,这种恶意软件可以在网络中传播,从而可能危及多个设备。
要安全地分析电子邮件附件,请考虑使用在线分析工具,例如 Virus Total 或 Hybrid Analysis。或者,使用专为测试可疑文件而设计的沙盒环境或虚拟机,确保任何潜在威胁都得到遏制并与主系统隔离。
另一种选择是将 MD5Hash 与 Virus Total 搜索结合使用。
例如,假设您通过电子邮件收到一份包含财务记录的敏感文件。在打开或共享此文件之前,您可以在本地计算其 MD5 哈希值。通过将此哈希提交给 Virus Total,您可以快速确定文档是否已被防病毒引擎和安全工具标记为恶意,而不会暴露其内容。
评估发送域信誉
用于分析的工具:CISCO Talos Intelligence
评估发送域的声誉有助于确定发件人的可信度,并可以防止潜在的网络钓鱼或恶意软件攻击。通过检查发送域的声誉,组织可以采取积极措施来阻止或过滤来自这些可疑来源的电子邮件。将此类列入黑名单的域添加到公司网络的阻止列表可以进一步防范已知威胁,确保员工不会与可能有害的电子邮件交互。
结果:
使用 S/MIME 证书增强电子邮件安全性
为了进一步保护自己免受网络钓鱼攻击,请考虑使用 S/MIME(安全/多用途 Internet 邮件扩展)证书。S/MIME提供了一种发送和接收 e2e 加密和数字签名电子邮件的方法,确保您的电子邮件内容保持机密性和防篡改。
S/MIME 通过使用一对加密密钥来工作:公钥和私钥。公钥与他人共享以加密发送给您的电子邮件,而私钥在您的设备上保持安全,以解密收到的电子邮件。
结论
通过利用这些工具和技术,您可以有效地分析和缓解网络钓鱼威胁。从仔细审查电子邮件标题到评估域声誉和利用 S/MIME 证书,每一步都会增强您的安全态势。
保持安全和快乐的网络钓鱼发现!🌐🔍🚫 不要忘记向您的 IT 部门或电子邮件提供商报告网络钓鱼企图,以帮助其他人保持安全。
其它相关课程
linux文件系统存储与文件过滤安全开发视频教程
linux高级usb安全开发与源码分析视频教程
linux程序设计与安全开发
-
恶
-
windows网络安全防火墙与虚拟网卡(更新完成)
-
windows文件过滤(更新完成)
-
USB过滤(更新完成)
-
游戏安全(更新中)
-
ios逆向
-
windbg
-
还有很多免费教程(限学员)
-
更多详细内容添加作者微信
原文始发于微信公众号(安全狗的自我修养):使用受信任的工具安全分析网络钓鱼电子邮件
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论