¿Por qué Outlook no maneja las URL de phishing [cerrado]

Navega tus respuestas
0

Hay dos problemas PRINCIPALES en mi empresa (como en muchos otros, supongo).

  1. Usuarios que hacen clic en enlaces en correos electrónicos de phishing.
  2. Usuarios que abren (y ejecutan) archivos adjuntos infectados con malware.

Sí, debería bloquear los archivos adjuntos y lo hago. Todo menos PDF, excel, word y ppt que simplemente no puedo, a menos que queramos salir del negocio. Todo lo demás está bloqueado en el nivel del servidor.

Sí, sé que los usuarios deben ser educados. Son. Pero todavía hacen clic en los enlaces y abren archivos adjuntos. ¿Más educación? Claro, pero nunca llegaré al 100%. Ni siquiera el 75%. ¿Entonces, cuál es la solución? Ejecutamos tanto IDS como IPS con monitoreo 24/7 a través de un SOC. Todos los correos electrónicos son monitoreados y todos los archivos adjuntos se ejecutan en una caja de arena antes de ser entregados a los usuarios finales. Las URL en los correos electrónicos también se verifican (a través de una solución de terceros contra una lista negra basada en la nube). Y además de esto, todos los clientes ejecutan un antivirus de punto final de múltiples capas. Los usuarios finales todavía están infectados, ya que los archivos adjuntos contienen nuevas cepas de malware o 0 días y las URL aún no están en la lista negra. Creo que, en general, se pasan por alto ciertas soluciones fáciles con respecto al phishing. ¿Estás de acuerdo? (Ver abajo).

Usamos Outlook como cliente de correo electrónico y las preguntas que me hago cada día es por qué Outlook no tiene una mejor protección contra el phishing. Por ejemplo:

  1. ¿Por qué Outlook no comprueba si el texto del enlace contiene una URL diferente de <a href-URL> ? ¿Por qué debería el usuario tener que apoderarse de cada URL y tomar su propia decisión?

  2. ¿Por qué Outlook no comprueba si el campo FROM difiere del encabezado del correo electrónico del sobre? El truco más antiguo del manual de phishing. ¿Por qué debería dejar que los usuarios intenten notarlo ellos mismos?

  3. ¿Por qué no puedo pedirle a Outlook que analice todos los correos electrónicos en busca de ciertas "palabras de phishing peligrosas" como, por ejemplo, FedEx, Visa, Mastercard, contraseña, cuenta bancaria, restablecer contraseña, confirmar cuenta, etc. Sí. Sé de DLP pero ahora estoy hablando de una solución del lado del cliente para los correos electrónicos entrantes.

  4. ¿Por qué diablos no es posible desactivar TODOS los enlaces en TODOS los correos electrónicos en Outlook? Por lo que sé, solo es posible para correos electrónicos de texto plano. Esto no lo hará 100% seguro, pero al menos evitará que las personas hagan clic en los enlaces sin pensar (por ejemplo, copiar y pegar).

  5. ¿Por qué Outlook no puede notificar a un usuario que el correo electrónico que acaba de recibir es de un remitente desconocido (es decir, no está en su libreta de direcciones) y tiene un archivo adjunto? En general, esto es a menudo altamente sospechoso.

Lo anterior es solo cosas muy simples que podrían implementarse dentro del programa de correo electrónico en el lado del cliente y hacer la vida más fácil para los usuarios finales y para los administradores de sistemas.

¿Qué es lo que me estoy perdiendo en esta línea de razonamiento? Debe ser algo ya que esto no está implementado en ningún software de correo electrónico. ¿O es eso? Cualquier opinión sobre esto es muy apreciada.

    
pregunta user1298720 13.09.2016 - 19:14
fuente

1 respuesta

1

Wow, hay muchas cosas en esa pregunta para tratar de llegar.

Primero, ¿qué podrías estar perdiendo? Sugeriría dos cosas de la experiencia. En primer lugar, las PC cliente solo deberían ejecutar aplicaciones incluidas en la lista blanca, todo lo demás debería estar bloqueado. Esto cancela masas de malware.

En segundo lugar, elimine el acceso a todos los servidores de anuncios, fuentes de malware y servidores de comando y control (C3) conocidos, en el nivel del enrutador / cortafuegos. Puede obtener listas para admitir esto si lo desea, pero la mayoría de las personas usa un servidor de filtrado inteligente como el de Sophos y otros. Incluso tengo una secuencia de comandos que hace esto para mi enrutador Ubiquiti de casa - brillante. Esto elimina muchos riesgos de malware y ataques automáticos de anuncios deshonestos. También protegerá de algunos, al menos, de esos enlaces desagradables.

A continuación, la pregunta no escrita: ¿Por qué la basura de Outlook y otros clientes no son mucho mejores? Esto también me desconcierta. Con todos los avances en UX, la teoría de la información y nuestra comprensión del pensamiento, usted pensaría que, para ahora, tendríamos un sistema de comunicaciones escritas fundamentalmente mejor. Todo lo que puedo pensar es que el correo electrónico y las tecnologías de comunicaciones relacionadas no son muy buenas para los desarrolladores. Así que son mal ignorados.

Ahora los detalles:

  1. ¿Quieres decir algo como <a href="//our-intranet.com">Intranet Home Page</a> ? Creo que podría encontrar que recortar un poco en correos electrónicos legítimos con formato HTML. Como se encuentra en empresas grandes y pequeñas en todas partes.

  2. Dos cuestiones aquí.

    Primero, su correo electrónico servidor debería hacer eso, no lo deje en manos del cliente.

    En segundo lugar, hay casos en que se usa esto (aunque si es legítimamente discutible). Los sistemas externos que envían correos electrónicos como correos electrónicos corporativos son el caso típico. Algunas listas de correo basadas en la nube se usan internamente, a veces escanean a sistemas de correo electrónico. Todos estos son vistos regularmente falsificando direcciones. No es realmente una buena práctica, pero aún se usa con demasiada frecuencia.

  3. Porque a) las palabras que enumera son palabras válidas para muchas organizaciones yb) porque esto también debe hacerlo el servidor, no el cliente. Echa un vistazo a la fuente abierta Spamassassin, por ejemplo.

    Sin embargo, esta no es una tarea sencilla y tienes que tratar de ser inteligente con las combinaciones de palabras y otros marcadores. Esto es algo que no es una identificación definitiva. La basura de una persona es otro correo electrónico legítimo. Por supuesto, los malos tienen acceso a las mismas herramientas y se adaptan en consecuencia.

    DLP trata sobre la fuga de datos en lugar del descubrimiento de spam / maware. Hay son las herramientas del lado del cliente que hacen esto y el propio proceso de descubrimiento de correo no deseado de Outlook hace un intento infalible. Sin embargo, necesitarás herramientas de terceros para hacerlo correctamente.

  4. Bueno, esto es teóricamente posible, ya que eso es lo que sucede en la carpeta de correo no deseado de Outlook. No tengo idea de por qué esto no es una opción para cualquier otro lugar, sin embargo.

    Sin embargo, Outlook está destinado a ser una herramienta de correo electrónico empresarial y en realidad la mayoría de las empresas utilizan correctamente los correos electrónicos HTML para evitar que las personas envíen constantemente documentos de Word de una página (también conocidos como "notas") a como en el siglo XIX. De nuevo, tiene que haber un equilibrio, no decir que el equilibrio es correcto, solo señalarlo.

  5. Una vez más, esta no es la experiencia de muchos usuarios de grandes empresas que son el pilar de los clientes de Outlook. Constantemente recibo correos electrónicos con archivos adjuntos de personas que no están en mi lista de contactos inmediata.

    No sería tan difícil ajustar su servicio de comprobación de correo no deseado basado en el servidor, sin embargo, para incluir esto como una regla.

Sin embargo, confía en mí, escucho tu grito de desesperación. Me parece que cuanto más alta sea la cadena de la organización, más probabilidades hay de que alguien se enrede con los enlaces de malware / phishing también.

Hemos tenido buenos resultados, sin embargo, con un flujo constante de recordatorios y advertencias. Asegurarse de que siempre realice un "escaneo de virus" adicional bastante intrusivo con un ingeniero de escritorio (o de forma remota) también ayuda a llevar el mensaje a casa, incluso si sabe que realmente no se necesita uno. ;)

También es bueno hacer un trato con sus ejecutivos superiores y luego hacer algunos ejercicios internos de phishing, después de advertir a todos que va a hacerlo. Si puede atrapar a alguien mayor, trate de ver si es lo suficientemente valiente como para ser usado como ejemplo. En cualquier caso, publica algunos resultados y repite unos meses más tarde.

    
respondido por el Julian Knight 13.09.2016 - 23:03
fuente

Lea otras preguntas en las etiquetas

Tomcat War Payload no funciona Gran número de retransmisiones falsas: ¿mi servidor está siendo atacado?