Recibo mucho esta pregunta de las partes interesadas del negocio, y he tratado de resolver este problema por mi cuenta. Tengo un enfoque potencial, pero quiero desafiar mis suposiciones.
En mi opinión, debería ser trivial analizar un encabezado de correo electrónico para identificar una dirección falsificada comparando los campos:
- alias: "John Smith"
-
from
: [email protected] -
reply-to
: [email protected], o incluso, [email protected] -
Received
: una dirección generada por el servidor
El 100% de los incidentes de phishing que investigo, hay una falta de coincidencia evidente en los 4 campos porque el atacante especificó manualmente al menos uno de los 3 primeros campos. Cualquier combinación del dominio corporativo interno o del receptor con dominios externos es una marca. Un alias que parece un correo electrónico que no coincide con from
y reply-to
es una bandera.
Pero la complejidad viene cuando el correo electrónico es:
- parte de una cadena
- reenviado
- enviado a varias personas
- enviado desde un servicio de administración de correo electrónico
Averiguar qué correos electrónicos son falsificados puede ser complicado en estos casos, pero ninguna de las condiciones anteriores existe en mis investigaciones. Por ejemplo, un correo electrónico falso o un intento de phishing siempre ha sido un contacto inicial de una única fuente externa. Los servicios de gestión de correo electrónico son conocidos y fáciles de incluir en la lista blanca
Si este sigue siendo el caso, ¿no sería trivial identificar y alertar en correos electrónicos falsificados? Tiene dos campos de encabezado para analizar ( from
y reply-to
), y su contenido es predecible y lo suficientemente sencillo como para crear una expresión regular simple para probar contra los campos alias y Received
.
¿Me estoy perdiendo un elemento en mis suposiciones?