在过去一天左右的时间里,我收到了来自不同 .gov 地址的两封声称来自 Intuit 的电子邮件,并鼓励我单击一个链接以“恢复对您的 QuickBooks 帐户的访问”。他们不是假装是政府地址。如果我单击回复,邮件收件人字段会显示 John.Doe@xxx.gov,正如电子邮件在“发件人”部分中所述。
我已将这些电子邮件转发到 FTC 推荐的网络钓鱼诈骗地址,但我想让相关机构知道他们的账户已被盗。有没有简单的方法可以做到这一点?我查看了一个机构的网站,但没有任何联系方式似乎是正确的(Texas Agriculture.gov)。
直接给那个人发电子邮件(在被泄露的地址)会有用吗?我不想整天花在这上面,因为我在工作。我只是想提醒某人。我希望某处有一个“报告滥用政府电子邮件”联系框,但我找不到类似的东西。
很可能来自标头已被伪造。我经常收到来自假的 .govs 的电子邮件,大部分都进入了我的垃圾邮件过滤器。内部的超链接要么是唯一的,允许跟踪,要么只是传递恶意软件。大多数时候我只是忽略这些。
如果您认为标头不是伪造的,那么您通常可以通过谷歌搜索他们的姓名和网站管理员或联系我们或其他类似的东西来联系该机构。不要使用网络钓鱼电子邮件,它几乎肯定是假的。
您应该以响应任何其他类型的网络钓鱼的相同方式响应来自 .gov 地址的网络钓鱼 - 您不这样做。
不要回复电子邮件,不要点击链接,不要打开附件,不要做任何电子邮件要求你做的事情。
如果您真的想大方一点,请检查邮件声称来自的域的 WHOIS 记录。这可能包含有关将滥用报告发送到何处的信息。您还可以查看政府机构的主页以获取技术联系地址。
如果这些都没有帮助,并且您不介意在黑暗中拍摄,您可以向邮件声称来自的域abuse@或域上发送消息。spam@这些是许多组织中的事件响应团队为此目的使用的常见帐户。
如果您确实找到了联系点,请记住将消息作为附件转发 - 而不仅仅是内联。这使响应团队可以查看消息标头并收集其他方式无法获得的其他元数据。
但要小心你声称的内容。正如其他人所提到的,该消息很可能甚至不是来自您认为它来自的域。只需声明您收到了可疑电子邮件,并且它似乎来自他们的域。让他们弄清楚它是否真的发生了,以及他们的帐户/系统实际上受到了多大程度的损害(如果有的话)。
我想让相关机构知道他们的账户被盗
这不太可能是真的。
未加密、未签名的电子邮件不是一个安全的系统;它基于邮件客户端提供的数据。该数据被认为是准确的。这种设计允许攻击者伪造标头数据(在本例中为From标头),并且收件人的电子邮件客户端将假定该数据是权威的。
因此,这些机构入侵帐户的可能性较小,发送这些网络钓鱼电子邮件的人更有可能将From标头设置为政府邮件地址,并希望收件人能够轻信。
虽然可以欺骗电子邮件中的 From: 标头,但根据您自己的邮件客户端的安全设置,欺骗标头通常会落在您的垃圾电子邮件文件夹中或根本不会被接收。
根据您自己的邮件服务器,您还可以检查电子邮件来自哪个服务器。SPF 验证通过检查域记录来工作,如果没有找到匹配项,它将落在垃圾文件夹中。
政府组织也可能会对其电子邮件服务器使用 DKIM 验证(尽管极不可能是 S/MIME 或 PGP。)如果电子邮件中有有效的 DKIM 标头,它几乎肯定来自正确的邮件服务器,这意味着垃圾邮件发送者以某种方式获得了原始用户的凭据,但仍然可以在不进入受害者计算机的情况下破坏帐户。
根据攻击的严重程度,我相信组织的安全人员想知道违规行为,但前提是确实存在违规行为。就像其他人所说的那样,它可能只是一个欺骗性的标头,但是根据原始服务器的设置,您可以通过多种方式检查这些内容。