Análisis de phishing

1

Actualmente estoy analizando y explorando intentos diarios de phishing. Algunos en puntos, no puedo verificar definitivamente si esto es, de hecho, un intento de phishing.

Al analizar los intentos de phishing, específicamente el phishing con lanza, ¿se ha sentido alguna vez la necesidad de una máquina de análisis aislada en la que pueda hacer clic en los enlaces de su tiempo libre y descargar PUA's?

El proceso que he sufrido es esencialmente:

  1. verifique los encabezados de extremo a extremo,
  2. si parece legítimo, pase a los analizadores de URL como Virus Total & Verificador de URL de Symantec, etc.
  3. si esto se comprueba, asuma que nunca fue escaneado o rastreado y trate de entender por qué el usuario final lo reportó como phishing, etc.

¿Más allá de los típicos intentos de phishing confirmados al 100% en los que un usuario utiliza una gramática deficiente, URL acortadas, extensiones de URL incompletos o archivos adjuntos incompletos, en qué momento se debe dejar de poner tiempo y esfuerzo en analizar un intento de phishing?

Entiendo que esta pregunta puede influir en una opinión, sin embargo, me gustaría dirigir las respuestas para tratar de prevenir falsos negativos. Cuando tenemos un correo electrónico legítimo pero las cosas aún no se pueden confirmar y lo etiquetamos como phishing.

¿Es más seguro cumplir siempre con la "política de no confiar en nadie"?

    
pregunta Mr.J 02.03.2018 - 02:59
fuente

1 respuesta

1

Me preocupa que parezca que solo tienes 2 categorías:

  • confirmado legítimo
  • phishing

Necesita al menos una tercera categoría: "desconocido".

Tampoco describe cómo define "phishing", pero parece que tiene una definición muy amplia. Phishing sigue siendo un término muy técnico con marcadores específicos. Es posible que desee considerar el uso de la categoría de "ingeniería social" para evitar bloquear su análisis en un modelo inútil.

Por ejemplo, ¿qué pasa con el primero de una serie de correos electrónicos para participar en una relación con un destinatario? El correo electrónico puede provenir de una fuente legítima y no tener archivos adjuntos o enlaces, solo un simple comienzo para una conversación aparentemente benigna. El "phishing" real ocurre más tarde. ¿Cómo se analiza ese primer correo electrónico? ¿Cómo lo clasificas? El análisis puede aparecer limpio, pero no puede decidir si se trata de phishing (todavía) o de comunicación comercial legítima. Tiene que caer en una tercera categoría para permitir la comunicación, pero para alertar a los usuarios a permanecer en guardia.

Esta categoría "desconocida" le da la libertad de concluir el análisis sin perder tiempo intentando confirmar algo que nunca puede confirmarse y etiquetar el correo electrónico de esta manera aún informa al usuario que lo informó. Esto es diferente de "no confíes en nadie", sino más bien "mantener niveles sanos de sospecha hasta que la confianza esté justificada", que es un mensaje mucho más útil para los usuarios y evita falsos negativos.

    
respondido por el schroeder 02.03.2018 - 11:37
fuente

Lea otras preguntas en las etiquetas