在大型组织(例如,城市工作人员)中,依靠人类行为来防止网络钓鱼攻击几乎不够有效。虽然这会有些不方便(通常是安全性),但我正在考虑一种方法,电子邮件客户端将编辑消息中的所有 URL。不仅使 URL 处于非活动状态,而且完全消除它们。例如,像这样:
点击这里查看我们关于房产税的新报告:
[删除网址]
如果真的有新的报告,如果市政工作人员真的想看,他或她可以去网站上追踪报告。如果用户通过密码管理器或书签访问网站,则无法访问虚假网站而不是真实网站。(涉及用户不熟悉的网站的网络钓鱼攻击,因此没有登录,不会是网络钓鱼攻击。)
虽然并非所有网络钓鱼攻击都涉及电子邮件中的 URL,但我猜测其中 99% 可能都涉及。
对于您认为这是否能有效减少网络钓鱼攻击,我将不胜感激。正如我所知,我对缺少 URL 是否会带来不便不太感兴趣。
(强制电子邮件客户端以文本模式运行只会删除链接;URL 仍然存在。)
首先,这将是一个可用性噩梦。
其次,它甚至不能解决它声称的问题。虽然它可能对为“普通”客户端设计的网络钓鱼邮件有效,但旨在攻击此类系统的攻击可能会更加有效。
此类网络的用户将习惯于使用各种替代方式来引用 url。假设我想链接到这个问题并要求你支持我的答案,因为你不允许我写https://security.stackexchange.com/questions/215871/redacting-urls-as-an-email-phishing - 预防我可以说:
请注意,一些恶意邮件已经使用附件中的 url 作为 [尝试] 绕过电子邮件过滤器的一种方式。您可能会认为“我也会从附件中删除 url”,但是当您的用户编辑的文档被电子邮件系统静默破坏时,这将造成严重破坏。格式化也可能在任何地方中断。更不用说这种努力可能需要您能够(正确地)识别和编辑几乎所有现有的文件格式。
此外,您的法律部门可能会完全禁止您修改发票(作为电子邮件附件接收),无论编辑多么无害。
此外,忘记密码的恢复链接之类的东西对您的用户也根本不起作用。
但恕我直言,主要问题是用户将被“训练”以执行各种奇怪的解决方法,一个让他们经历这样的箍的“隐藏网址”根本不会引起任何怀疑。
(正如Joseph Sible所指出的,您的反垃圾邮件过滤器将无法检查经过混淆的网址)
一些例子:
一个更明智的方法是您更改网址以通过您的重定向服务。一些电子邮件安全过滤器已经这样做了。这样他们可以检查,当用户点击链接如果它被列在黑名单上(在收到电子邮件时它可能不在),从而阻止访问。当他们尝试访问未列入白名单的网站时(据说只有他们拥有凭据的网站),您可能还会让它显示一个可怕的警告,即他们不会访问安全的网站。而且,这种方法仍然存在一些缺陷,因为用户实际上将拥有比代理白名单中更多站点的凭据,而不显示警告,并且合法站点通常决定将他们的内容放在新域上(这不会' t 显然出现在白名单上)。如果误报太多,用户最终会很少关注它们,因为接收它们是“正常的”。
这不是一个好主意。首先,“有点不方便”是一种轻描淡写的说法。此外,AviD 的可用性规则也适用于此:您将获得有关如何输入 URL 的说明,而不是计算机可以理解的 URL,这将阻止电子邮件扫描程序检测 URL 是否进入网络钓鱼站点的能力。
除了人类能够用英语描述 URL 以绕过过滤器之外,这还会破坏依赖于您能够接收电子邮件发送的 URL 的各种自动电子邮件验证、帐户检查和密码重置系统。邮件以验证地址的所有权。其中一些系统提供了可以复制粘贴到表单中的代码,但许多系统仅提供 URL。
您在此系统下的用户将无法在各种网站上开设新帐户,并且一旦服务提供商要求电子邮件验证以登录新设备,他们可能会被锁定在现有帐户之外。
(免责声明:我从事顶级电子邮件安全解决方案之一的工作。这篇文章旨在与供应商保持中立。)
至少领先的两个企业级电子邮件安全网关提供了通过在用户单击链接时运行的额外安全层来重写 URL 的能力。这是一种比完全编辑链接更安全的方法。这些解决方案包含额外的安全检查以及在点击的链接之一最终是恶意的情况下报告补救措施,从而允许您的信息安全团队执行损害控制。
您可以通过设置自己的URL 缩短服务、重写可疑网络钓鱼的链接(或所有内容,尽管这可能会惹恼您的用户)并在重定向期间或定期检查与URI DNSBL的映射来实现此功能的穷人版本一个 cron 工作。
正如Ángel 的回答所说,重写仅适用于您的系统可以识别的 URI。这永远不会是全面的,但希望它与您的用户的邮件客户端将呈现为可点击链接的内容非常接近。