美国密苏里州大学的安全研究员Josh Rickard近日开发了一个微软Outlook邮件客户端的内嵌钓鱼邮件报告工具PhishReporter,PhishReporter可以帮助用户将疑似诈骗邮件或者钓鱼邮件一键发送到预先设定的收件人邮箱(可以是公司的安全研究人员的或者事件响应小组),以便能最大限度地保存钓鱼邮件现场数据,从而使得安全人员可以更好地对疑似邮件进行分析,及时作出合理判断及处置。
PhishReporter的使用
该内嵌工具是以在Outlook操作菜单上增加了一个新的按钮。用户可以在 Outlook邮件客户端上,将他们认为是钓鱼攻击的邮件或者是垃圾邮件一键进行转发操作,将之发送到公司安全人员处进行分析。主要界面如下图,
PhishReporter内嵌工具,带来的好处是通过联动用户,保存原始现场信息,而安全人员也能及时地对疑似的威胁进行分析判断,并进行处置,这无疑将大大增强安全事件的预防及响应处理能力。
PhishReporter解决的问题
通过PhishReporter的功能,能保存好重要的邮件头信息,以便安全人员能更好地进行解析,从而更好地作出判断。保存好邮件头信息是关键。很多时候,网络钓鱼事件已经发生了,但是要对用户收到的钓鱼邮件进行分析仍然存在一定的难度。
因为一般用户都是直接将疑似钓鱼邮件直接转发给公司的安全人员,这样一来,就破坏了原来的邮件头信息,从而会给分析工作带来一定的干扰。其实原来的网络钓鱼邮件头并没有丢失,它仍然存放在用户的电子邮件,但安全团队往往需要联系员工,教他如何正确地转发电子邮件,以便于能够进行分析。
关于邮件头信息的简单解析
下面的示例是一封从 MrJones@emailprovider.com 发往 MrSmith@gmail.com 的电子邮件的邮件标头:
Delivered-To: MrSmith@gmail.com Received: by 10.36.81.3 with SMTP id e3cs239nzb; Tue, 29 Mar 2005 15:11:47 -0800 (PST) Return-Path: Received: from mail.emailprovider.com (mail.emailprovider.com [111.111.11.111]) by mx.gmail.com with SMTP id h19si826631rnb.2005.03.29.15.11.46; Tue, 29 Mar 2005 15:11:47 -0800 (PST) Message-ID: <20050329231145.62086.mail@mail.emailprovider.com> Received: from [11.11.111.111] by mail.emailprovider.com via HTTP; Tue, 29 Mar 2005 15:11:45 PST Date: Tue, 29 Mar 2005 15:11:45 -0800 (PST) From: Mr Jones Subject: Hello To: Mr Smith
此例中,标头会三次添加到邮件中:
From: Mr Jones Subject: Hello To: Mr Smith
2、当电子邮件通过 Jones 先生的电子邮件提供商的服务器 mail.emailprovider.com 发送时 Message-ID:
<20050329231145.62086.mail@mail.emailprovider.com> Received: from [11.11.111.111] by mail.emailprovider.com via HTTP; Tue, 29 Mar 2005 15:11:45 PST
3、当邮件从 Jones 先生的电子邮件提供商传输到 Smith 先生的 Gmail 地址时 Delivered-To: MrSmith@gmail.com
Received: by 10.36.81.3 with SMTP id e3cs239nzb;Tue, 29 Mar 2005 15:11:47 -0800 (PST) Return-Path: MrJones@emailprovider.com Received: from mail.emailprovider.com (mail.emailprovider.com [111.111.11.111]) by mx.gmail.com with SMTP id h19si826631rnb; Tue, 29 Mar 2005 15:11:47 -0800 (PST)
结语
据统计,从1995年刚开始出现钓鱼攻击开始至今,很多钓鱼攻击之所以能成功,往往是通过邮件实施的。而据统计,从2014年至今的18个月内,对各大型企业进行调研,有大概50%的员工会点击钓鱼邮件的链接或者打开附件。所以保持与公司员工的及时沟通,从技术层面上建立反馈机制,是一个较好的响应方案。
PhishReporter只是其中一款内嵌工具,在这里也分享GitHub上另外一款更大“体量”的PhishReporter工具,可以再进行研究。
工具下载链接1: PhishReporter-Outlook-Add-In
工具下载链接2: PhishReporter
*参考来源: GitHub phishreporter ,FB小编troy编译,转载请注明来自FreeBuf关注黑客与极客(FreeBuf.COM)