Jak przeanalizować podejrzaną wiadomość e-mail

Jeśli otrzymasz wiadomość e-mail o wątpliwej autentyczności, przeanalizuj ją samodzielnie. Zobacz, jak to zrobić.

Oznaki phishingu mogą być oczywiste — niezgodność między adresem nadawcy a adresem jego rzekomej firmy, niespójności logiczne, powiadomienia, które wydają się pochodzić z usług online. Ale zidentyfikowanie tej fałszywej nie zawsze jest takie łatwe. Jednym ze sposobów, aby wyglądała ona bardziej przekonująco, jest wprowadzenie zmian w widocznym polu zawierającym adres e-mail.

W przypadku phishingu wysyłanego masowo technika ta jest dość rzadko spotykana; nieco częściej występuje w wiadomościach ukierunkowanych. Jeśli wiadomość wygląda na prawdziwą, ale wątpisz w autentyczność nadawcy, sprawdź nagłówek Odebrano. Poniżej podpowiadamy, jak to zrobić.

Powody, które powinny wzbudzić wątpliwość

Nasze wątpliwości powinna wzbudzić każda dziwna prośba. Na przykład dokładniejszego przeanalizowania wymaga e-mail, w którym ktoś prosi o zrobienie czegoś poza zakresem obowiązków lub wykonanie jakiejkolwiek niestandardowej czynności — zwłaszcza jeśli zawarta jest w nim informacja, że polecenie jest ważne (Osobiste żądanie od dyrektora generalnego!) lub pilne (Należy zapłacić w ciągu dwóch godzin!). Są to standardowe sztuczki phishingowe. Warto również uważać, jeśli nadawca tej wiadomości poprosi Cię o:

  • Kliknięcie w wiadomości e-mail linku prowadzącego do zewnętrznej strony internetowej, na której należy podać dane uwierzytelniające lub informacje dotyczące płatności.
  • Pobranie i otworzenie pliku (w szczególności pliku wykonywalnego).
  • Przeprowadzenie działań związanych z przelewami pieniężnymi lub dostępem do systemów lub usług.

Jak znaleźć nagłówki wiadomości e-mail

Niestety, widoczne pole Od można z łatwością sfałszować; nagłówek Received powinien jednak pokazywać prawdziwą domenę nadawcy. Znajdziesz go w każdym kliencie poczty. Tutaj jako przykładu używamy programu Microsoft Outlook ze względu na jego powszechne zastosowanie we współczesnym biznesie, jednak nie powinno się to radykalnie różnić u innych klientów. Dla pewności sięgnij do samouczka lub spróbuj znaleźć go samodzielnie.

W programie Microsoft Outlook:

  1. Otwórz wiadomość, którą chcesz sprawdzić.
  2. Na karcie Plik wybierz Właściwości.
  3. W oknie Właściwości, które zostanie otwarte, znajdź pole Received w sekcji Nagłówki internetowe.

Przed dotarciem do adresata wiadomość e-mail może przejść przez więcej niż jeden węzeł pośredni, dzięki czemu może zostać wyświetlonych kilka pól Received. Poszukaj znajdującego się najniżej, który zawiera informacje o pierwotnym nadawcy. Powinno to wyglądać mniej więcej tak:

Nagłówek Received

Jak sprawdzić domenę z nagłówka Received

Najprostszym sposobem odczytania nagłówka Received jest skorzystanie z naszego serwisu Threat Intelligence Portal. Część jego funkcji jest bezpłatna, co oznacza, że możesz z nich korzystać bez rejestracji.

Aby sprawdzić adres, skopiuj go, przejdź do Kaspersky Threat Intelligence Portal, wklej go w polu wyszukiwania na karcie Lookup i kliknij Wyszukaj. Portal zwróci wszystkie dostępne informacje o domenie, jej reputacji i szczegółach WHOIS. Dane wyjściowe powinny wyglądać mniej więcej tak:

Informacje z Kaspersky Threat Intelligence Portal

Już w pierwszym wierszu prawdopodobnie pojawi się werdykt „Good” lub znak „Not categorized”. Oznacza to, że nasze systemy nie zarejestrowały wcześniej tej domeny w działaniach przestępczych. Przygotowując atak ukierunkowany, napastnik może zarejestrować nową domenę lub użyć zhakowanej legalnej domeny o dobrej reputacji. Dokładnie sprawdź organizację, w której domena jest zarejestrowana, a następnie porównaj ją z tą, którą rzekomo reprezentuje nadawca. Na przykład pracownik firmy partnerskiej w Szwajcarii prawdopodobnie nie wyśle wiadomości e-mail za pośrednictwem nieznanej domeny zarejestrowanej w Malezji.

Nawiasem mówiąc, dobrym pomysłem jest korzystanie z naszego portalu, aby sprawdzać łącza w wiadomościach e-mail, a także używać zakładki File analysis, aby sprawdzać wszelkie załączniki do wiadomości.

Kaspersky Threat Intelligence Portal ma wiele innych przydatnych funkcji, ale większość z nich jest dostępna tylko dla zarejestrowanych użytkowników. Aby uzyskać więcej informacji o usłudze, zobacz zakładkę About the Portal.

Ochrona przed phishingiem i szkodliwymi wiadomościami e-mail

Chociaż sprawdzanie podejrzanych wiadomości e-mail jest dobrym pomysłem, lepiej jest zminimalizować możliwość dotarcia wiadomości phishingowych do użytkowników końcowych. Dlatego zawsze zalecamy instalowanie specjalnych rozwiązań na poziomie firmowego serwera poczty.

Dodatkowo rozwiązanie zapewniające ochronę przed phishingiem działające na stacjach roboczych zablokuje przekierowania przez linki phishingowe, na wypadek gdyby twórca wiadomości e-mail oszukał odbiorcę.

Porady