¿Cuál es la mejor manera de responder a los correos electrónicos de phishing enviados desde un dominio del gobierno?

Es probable que el encabezado desde se haya forjado. Recibo correos electrónicos de .govs falsos con bastante frecuencia, la mayoría de ellos terminan en mi filtro de correo no deseado. El hipervínculo interno es único, permite el seguimiento o simplemente entrega malware. La mayoría de las veces simplemente los ignoro.

Si cree que el encabezado no está falsificado, por lo general puede comunicarse con la agencia buscando en Google su nombre y Webmaster, o Contáctenos o cualquier otra cosa similar. No utilice el correo electrónico de phishing, es casi seguro que es falso.

Debes responder a las acciones de phishing desde .gov de la misma manera que respondes a cualquier otro tipo de phishing, no lo haces.

No respondas al correo electrónico, no hagas clic en los enlaces, no abras los archivos adjuntos, no hagas nada que el correo electrónico te pida que hagas.

Si realmente desea ser generoso, verifique los registros de WHOIS del dominio del que proviene el mensaje. Eso puede tener información sobre dónde enviar informes de abuso. También puede consultar la página de inicio de la agencia gubernamental para obtener una dirección de contacto técnico.

Si eso no ayuda, y no le importa tomar una foto en la oscuridad, puede enviar un mensaje a abuse@ o spam@ en el dominio del que se afirma el correo. Estas son cuentas comunes utilizadas por los equipos de respuesta a incidentes en muchas organizaciones para este propósito.

Si encuentra un punto de contacto, recuerde reenviar el mensaje como un archivo adjunto, no solo en línea. Esto permite al equipo de respuesta ver los encabezados de los mensajes y recopilar metadatos adicionales que de otro modo no estarían disponibles.

Tenga cuidado en lo que dice. Como han mencionado otros, es muy posible que el mensaje ni siquiera se haya originado en el dominio en el que cree que lo hizo. Simplemente declare que recibió el correo electrónico sospechoso y aparece que provino de su dominio. Permítales determinar si realmente lo hizo, y a qué nivel (si corresponde) están comprometidos sus cuentas / sistemas.

  

Me gustaría que las agencias involucradas sepan que tienen cuentas comprometidas

Es probable que esto no sea cierto.

El correo electrónico sin cifrar y sin firmar no es un sistema seguro; se basa en los datos que proporciona el cliente de correo. Se supone que esos datos son precisos. Este diseño le permite a un atacante falsificar los datos del encabezado (en este caso, el encabezado From ), y el cliente de correo electrónico del destinatario asumirá que los datos tienen autoridad.

Por lo tanto, es menos probable que las agencias tengan cuentas comprometidas y más probable que la persona que envió esos correos electrónicos de phishing establezca el encabezado From en una dirección de correo del gobierno y esperara que el destinatario fuera lo suficientemente crédulo para creerlo. / p>     

Mientras que el encabezado De: en un correo electrónico se puede falsificar, dependiendo de la configuración de seguridad de su propio cliente de correo, los encabezados falsificados generalmente aparecerán en su carpeta de correo no deseado o no se recibirán en absoluto.

Dependiendo de su propio servidor de correo, también puede verificar de qué servidor proviene el correo electrónico. La validación de SPF funciona al comparar esto con los registros del dominio, y si no se encuentra una coincidencia, aterrizará en la carpeta de correo no deseado.

Es probable que las organizaciones gubernamentales también utilicen la validación DKIM para su servidor de correo electrónico (aunque es muy poco probable que sea S / MIME o PGP). Si hay un encabezado DKIM válido en el correo electrónico, casi definitivamente se originó de la forma correcta. servidor de correo, lo que significa que el correo electrónico no deseado obtuvo las credenciales de los usuarios originales de alguna manera, pero aún así podría haber comprometido la cuenta sin ingresar a la computadora víctima.

Dependiendo de la gravedad del ataque, creo que el personal de seguridad de la organización querría saber de la violación, pero solo si realmente hubo uno. Como han dicho otros, podría ser simplemente un encabezado falsificado, pero hay formas de verificar estas cosas dependiendo de la configuración del servidor o servidores de origen.

Si desea ser un cruzado de correo electrónico, guarde el correo electrónico, reenvíelo a la dirección de la agencia y la dirección principal, y déjelos ir tras el phisher. Con el correo electrónico hay suficiente información para averiguar de dónde se envió y pueden cerrar ese servicio, si tienen algún control sobre él. Si no, pueden presentar una queja ante el país de origen y ver si tienen leyes para ayudar.