¿Cuál es la mejor manera de responder a los correos electrónicos de phishing enviados desde un dominio del gobierno?

22

En el último día, recibí dos correos electrónicos de diferentes direcciones .gov que pretenden ser de Intuit y me animan a hacer clic en un enlace para "restaurar el acceso a su cuenta de QuickBooks". No pretenden ser direcciones de gobierno. Si hago clic en responder, el campo de correo electrónico dice [email protected], tal como lo indica el correo electrónico en la sección De.

He enviado estos correos electrónicos a la dirección recomendada por la FTC para las estafas de suplantación de identidad, pero me gustaría informarles a las agencias involucradas que tienen cuentas comprometidas. ¿Hay una manera fácil de hacer eso? Busqué en el sitio web de una agencia, pero no había ningún contacto que pareciera correcto (Texas agriculture.gov).

¿Sería útil enviar por correo electrónico a esa persona (en la dirección comprometida) directamente? No quiero pasar todo el día en esto, ya que estoy trabajando. Solo quiero darle un aviso a alguien. Tenía la esperanza de que hubiera un cuadro de contacto de "informe de correo electrónico gubernamental mal utilizado" en algún lugar, pero no puedo encontrar nada de eso.

    
pregunta gp782 20.07.2016 - 14:40
fuente

5 respuestas

48

Es probable que el encabezado desde se haya forjado. Recibo correos electrónicos de .govs falsos con bastante frecuencia, la mayoría de ellos terminan en mi filtro de correo no deseado. El hipervínculo interno es único, permite el seguimiento o simplemente entrega malware. La mayoría de las veces simplemente los ignoro.

Si cree que el encabezado no está falsificado, por lo general puede comunicarse con la agencia buscando en Google su nombre y Webmaster, o Contáctenos o cualquier otra cosa similar. No utilice el correo electrónico de phishing, es casi seguro que es falso.

    
respondido por el AstroDan 20.07.2016 - 14:45
fuente
24

Debes responder a las acciones de phishing desde .gov de la misma manera que respondes a cualquier otro tipo de phishing, no lo haces.

No respondas al correo electrónico, no hagas clic en los enlaces, no abras los archivos adjuntos, no hagas nada que el correo electrónico te pida que hagas.

Si realmente desea ser generoso, verifique los registros de WHOIS del dominio del que proviene el mensaje. Eso puede tener información sobre dónde enviar informes de abuso. También puede consultar la página de inicio de la agencia gubernamental para obtener una dirección de contacto técnico.

Si eso no ayuda, y no le importa tomar una foto en la oscuridad, puede enviar un mensaje a abuse@ o spam@ en el dominio del que se afirma el correo. Estas son cuentas comunes utilizadas por los equipos de respuesta a incidentes en muchas organizaciones para este propósito.

Si encuentra un punto de contacto, recuerde reenviar el mensaje como un archivo adjunto, no solo en línea. Esto permite al equipo de respuesta ver los encabezados de los mensajes y recopilar metadatos adicionales que de otro modo no estarían disponibles.

Tenga cuidado en lo que dice. Como han mencionado otros, es muy posible que el mensaje ni siquiera se haya originado en el dominio en el que cree que lo hizo. Simplemente declare que recibió el correo electrónico sospechoso y aparece que provino de su dominio. Permítales determinar si realmente lo hizo, y a qué nivel (si corresponde) están comprometidos sus cuentas / sistemas.

    
respondido por el Iszi 20.07.2016 - 17:26
fuente
12
  

Me gustaría que las agencias involucradas sepan que tienen cuentas comprometidas

Es probable que esto no sea cierto.

El correo electrónico sin cifrar y sin firmar no es un sistema seguro; se basa en los datos que proporciona el cliente de correo. Se supone que esos datos son precisos. Este diseño le permite a un atacante falsificar los datos del encabezado (en este caso, el encabezado From ), y el cliente de correo electrónico del destinatario asumirá que los datos tienen autoridad.

Por lo tanto, es menos probable que las agencias tengan cuentas comprometidas y más probable que la persona que envió esos correos electrónicos de phishing establezca el encabezado From en una dirección de correo del gobierno y esperara que el destinatario fuera lo suficientemente crédulo para creerlo. / p>     

respondido por el ArtOfCode 20.07.2016 - 17:13
fuente
5

Mientras que el encabezado De: en un correo electrónico se puede falsificar, dependiendo de la configuración de seguridad de su propio cliente de correo, los encabezados falsificados generalmente aparecerán en su carpeta de correo no deseado o no se recibirán en absoluto.

Dependiendo de su propio servidor de correo, también puede verificar de qué servidor proviene el correo electrónico. La validación de SPF funciona al comparar esto con los registros del dominio, y si no se encuentra una coincidencia, aterrizará en la carpeta de correo no deseado.

Es probable que las organizaciones gubernamentales también utilicen la validación DKIM para su servidor de correo electrónico (aunque es muy poco probable que sea S / MIME o PGP). Si hay un encabezado DKIM válido en el correo electrónico, casi definitivamente se originó de la forma correcta. servidor de correo, lo que significa que el correo electrónico no deseado obtuvo las credenciales de los usuarios originales de alguna manera, pero aún así podría haber comprometido la cuenta sin ingresar a la computadora víctima.

Dependiendo de la gravedad del ataque, creo que el personal de seguridad de la organización querría saber de la violación, pero solo si realmente hubo uno. Como han dicho otros, podría ser simplemente un encabezado falsificado, pero hay formas de verificar estas cosas dependiendo de la configuración del servidor o servidores de origen.

    
respondido por el Waddles 21.07.2016 - 03:07
fuente
-1

Si desea ser un cruzado de correo electrónico, guarde el correo electrónico, reenvíelo a la dirección de la agencia y la dirección principal, y déjelos ir tras el phisher. Con el correo electrónico hay suficiente información para averiguar de dónde se envió y pueden cerrar ese servicio, si tienen algún control sobre él. Si no, pueden presentar una queja ante el país de origen y ver si tienen leyes para ayudar.

    
respondido por el blankip 22.07.2016 - 17:30
fuente

Lea otras preguntas en las etiquetas