Actualmente estoy analizando y explorando intentos diarios de phishing. Algunos en puntos, no puedo verificar definitivamente si esto es, de hecho, un intento de phishing.
Al analizar los intentos de phishing, específicamente el phishing con lanza, ¿se ha sentido alguna vez la necesidad de una máquina de análisis aislada en la que pueda hacer clic en los enlaces de su tiempo libre y descargar PUA's?
El proceso que he sufrido es esencialmente:
- verifique los encabezados de extremo a extremo,
- si parece legítimo, pase a los analizadores de URL como Virus Total & Verificador de URL de Symantec, etc.
- si esto se comprueba, asuma que nunca fue escaneado o rastreado y trate de entender por qué el usuario final lo reportó como phishing, etc.
¿Más allá de los típicos intentos de phishing confirmados al 100% en los que un usuario utiliza una gramática deficiente, URL acortadas, extensiones de URL incompletos o archivos adjuntos incompletos, en qué momento se debe dejar de poner tiempo y esfuerzo en analizar un intento de phishing?
Entiendo que esta pregunta puede influir en una opinión, sin embargo, me gustaría dirigir las respuestas para tratar de prevenir falsos negativos. Cuando tenemos un correo electrónico legítimo pero las cosas aún no se pueden confirmar y lo etiquetamos como phishing.
¿Es más seguro cumplir siempre con la "política de no confiar en nadie"?