Análisis de correo electrónico SPAM

8

¿Cuáles son los pasos que seguiría para identificar en un correo electrónico si se trata de un intento de SPAM / SCAM / Phishing? La razón por la que me hago esta pregunta es que a veces los correos electrónicos no deseados muy bien diseñados logran eludir las herramientas automatizadas de AntiSpam, por lo que se requiere más investigación.

Por lo general, reviso la reputación de IP del remitente utilizando Comprobación de la lista negra de MXToolbox . También utilizo VirusTotal para analizar archivos adjuntos / URL en busca de malware. Me preguntaba si alguien más tiene otros pasos o herramientas en línea para ayudar en este espacio.

    
pregunta lisa17 24.12.2013 - 16:08
fuente

3 respuestas

4

Como regla general, si parece spam, entonces es spam. Las herramientas automatizadas pueden ser derrotadas, pero un cerebro humano (el mío, en este caso) es más difícil. El software antispam es útil para eliminar la mayoría de los spam automáticamente, reduciendo el problema a un tamaño en el que el filtrado humano es tolerable. De hecho, es relativamente fácil identificar el spam peligroso porque para ser peligroso, el spam debe tener algún enlace: un enlace a un dominio de aspecto original, un archivo ejecutable adjunto (o archivo Zip que contiene un ejecutable) ... Los spam ambiguos son, por lo tanto, los spam (o no spam) que en su mayoría son inofensivos.

Por ejemplo, una vez recibí un correo no deseado cuyo cuerpo completo era texto puro (sin versión HTML, sin archivo adjunto, solo texto ASCII) y consistía en una sola palabra: "Theravada". Este es el nombre de una rama del budismo , por lo que el único efecto potencial de ese spam podría haber sido para ayudarme a alcanzar la iluminación. que no clasifico como peligroso.

El problema, aquí, es que el filtrado humano de correos electrónicos requiere un cerebro que esté bien consciente de cómo, técnicamente, un correo electrónico determinado puede causar daño a una máquina, por lo que esto solo funciona para mí o para cualquier otro especialista de InfoSec, no para Usuarios genéricos. (Además, no lea sus correos electrónicos cuando esté borracho). Esto también enfatiza el hecho de que los filtros antispam nunca son absolutos, especialmente porque se basan en heurísticas a las que los spammers se adaptan continuamente; en el mejor de los casos , las buenas reglas ayudarán a reducir la cantidad de spam a totales manejables por el hombre.

En un sitio genérico, un compromiso viable puede ser el siguiente:

  • Use herramientas "normales" como SpamAssassin para bloquear el 90% de "spam obvios".
  • Use las listas blancas para enviar automáticamente correos electrónicos provenientes de buenas fuentes conocidas. Esto plantea la cuestión de si una "buena fuente conocida" podría suplantarse; DKIM puede ayudar (es decir, si se garantiza un correo electrónico, a través de DKIM, que provenga de un servidor dado y ese servidor ha sido incluido en la lista blanca, luego deje que pase el correo electrónico).
  • Deje pasar los correos electrónicos que son "obviamente" inofensivos. Esto es relativo a qué tan bien entrenados están los usuarios; un correo electrónico de ASCII puro puede solicitar al usuario que envíe su contraseña a sysadmin@evilhackerz.com, y si los usuarios se caen, entonces ningún correo electrónico puede considerarse "obviamente inocuo".
  • Todos los correos electrónicos restantes se pueden acumular en una zona de cuarentena, para ser inspeccionados por humanos informados.

La inspección humana de correos electrónicos puede tener ramificaciones legales con respecto a la expectativa de privacidad de las comunicaciones; incluso en un contexto empresarial, aún debe asegurarse de que todas las políticas y cláusulas contractuales relevantes estén "legalmente limpias".

Hay muchas compañías por ahí que ganan bastante dinero vendiendo y / u operando sistemas antispam, por lo que podemos inferir que derrotar por completo al spam no es algo fácil de hacer.

    
respondido por el Tom Leek 24.12.2013 - 16:41
fuente
3

MXToolbox y Virustotal son muy buenas herramientas, en mi opinión. Tenga en cuenta que el envío de una cuenta de correo electrónico comprometida a una tasa "baja y lenta" puede evitar la inclusión en listas negras durante algún tiempo. Virustotal aún puede pasar por alto el malware de día cero, pero estoy de acuerdo en que probablemente no haya nada mejor.

Sin embargo, la detección humana de correos electrónicos no deseados o malintencionados es fácil (¡asumiendo que tienes un ser humano inteligente!). Recuerde que el uso de herramientas es para ayudar a la evaluación humana de correos electrónicos: si un humano piensa que un correo electrónico es spam, pero una aplicación cree que es legítima, la evaluación humana debería prevalecer.

  • Spam es generalmente obvio porque está vendiendo algo, y es la categoría de todo correo electrónico no deseado que no tiene archivos adjuntos o hipervínculos. Además, el spam está muy en el ojo del espectador: muchos usuarios se inscriben en un boletín informativo de una tienda en línea legítima, sin embargo consideran los correos electrónicos como "spam".

  • Phishing es fácil de definir: el remitente simula ser otra persona y proporciona un enlace de "iniciar sesión aquí para hacer algo" en el correo electrónico. Si no está seguro, póngase en contacto con el remitente (supuesto) mediante un método alternativo y verifique! Puede obtener falsos positivos si el remitente está utilizando un servicio de marketing, aunque la mayoría de los proveedores legítimos tendrán encabezados informativos + optar por cada correo electrónico.

Las estafas tienden a seguir los patrones establecidos, y en realidad solo hay algunos marcadores que recordar:

  • Se le pide que envíe dinero (estafa de lotería / me han robado en el extranjero / ayúdeme con esta transferencia y obtenga una tarifa / etc.). Este es, con mucho, el tipo de estafa más común.
  • Se le solicita que revele información personal como nombres, direcciones, nombres de usuario y contraseñas (Facilita el phishing o el robo de identidad)
respondido por el scuzzy-delta 24.12.2013 - 16:50
fuente
2

La mejor información disponible es mayoritariamente fuera del correo electrónico:

  • El correo electrónico se envía desde un servidor que no es un servidor legítimo para el remitente del correo electrónico, o se envía desde una máquina que parece estar en una red dinámica como un punto de acceso wifi o acceso telefónico.
  • El correo electrónico se envía desde un servidor que ha sido la fuente de spam en el pasado.
  • El correo electrónico es enviado por un servidor que no es particularmente compatible con las RFC SMTP relevantes. Graylisting explota esto devolviendo fallas temporales y esperando que los servidores de correo reales se pongan en cola y se vuelvan a enviar. Otra técnica es insertar un retraso en el protocolo de enlace inicial para detectar fuentes que enviaban un script de comandos SMTP sin interactuar realmente con el servidor.
  • El correo electrónico se envía a el servidor incorrecto para el destinatario. Los registros MX secundarios a menudo apuntan a máquinas que simplemente hacen cola de correo electrónico y carecen de la información necesaria para clasificar el spam o los destinatarios malos. Los remitentes de correo no deseado aprovechan esto al evitar el registro MX primario (bien configurado), incluso cuando esté disponible.
  • El correo electrónico se envía a muchos destinatarios. Los grandes servicios de correo electrónico como Google tienen una ventaja en la detección de correo no deseado porque pueden ver cuándo se envía un mensaje a muchas personas que, de otro modo, no suelen recibir el mismo mensaje.
  • El correo electrónico tiene direcciones URL que hacen referencia a sitios que albergan fraudes de malware o phishing.
respondido por el Ben Jackson 24.12.2013 - 22:52
fuente

Lea otras preguntas en las etiquetas