W dzisiejszych czasach każdy z nas dostaje setki złośliwych maili. Dotyczy to zarówno firm jak i użytkowników prywatnych. W dobie AI spora ich ilość nie budzi podejrzeń na początku a to z kolei może prowadzić do większego odsetku kliknięć czy do zalogowania się na złośliwych stronach. Jak zatem oprócz treści zweryfikować czy mail który dostałeś nie jest złośliwy?
Jednym z najprostszych kroków jest weryfikacja adresu domeny z jakiej został wysłany ten mail. Można to oczywiście sprawdzić bez żadnych narzędzi, bo jeśli nadawca podaje się na przykład za firmę DHL to oczekujemy że adres będzie należał do domeny DHL.PL lub DHL.COM. Jeśli nadawca podaje się za InPost to oczywistym jest że adres nadawcy będzie również pochodził z domeny InPost.pl.
Niektóre domeny widać już na pierwszy rzut oka, że są niespójne z treścią maila. Zdarza się że maile phishingowe są też wysyłane z przejętych skrzynek. Wtedy widzimy w adresie nadawcy jakąś skrzynkę na wp.pl lub gmail.com. Wtedy powinna już nam się zapalić czerwona lampka, że ten mail jest złośliwy i nie należy klikać w żadne linki a tym bardziej już się logować. No bo jaka firma wysyła na przykład potwierdzenie zapłaty lub link do płatności z konta na wp.pl? Najlepiej wtedy takiego maila usunąć i zapomnieć.
Kiedy domena zawiera ciąg losowych znaków wtedy możemy śmiało stwierdzić że jest to phishing. Częstym trikiem ze strony atakujących są celowe literówki w nazwach domen. Przykładem może być tutaj przykład z pocztą polską. Prawidłowa nazwa domeny Poczty Polskiej to poczta-polska.pl, natomiast znamy już przypadek gdzie mail był wysyłany z adresu gdzie domena miała nazwę poczta–polska.pw. Oczywiście nie jesteśmy w stanie zapamiętać wszystkich adresów URL jakie występują nawet chociażby w Polsce a co dopiero na świecie – jest to niemożliwe.
Dlatego powstały serwisy które umożliwiają nam sprawdzenie takich URLi czyli adresów stron pod kątem zagrożeń. Możemy wtedy w prosty sposób ocenić czy adres, z którego dostaliśmy mail jest złośliwy czy nie.
Oczywiście to są tylko automatyczne skrypty, które też popełniają błędy i które nie zawsze są w stanie wszystko sprawdzić lub na przykład kiedy domena jest świeża to nie mają jeszcze na tyle informacji żeby poprawnie zweryfikować czy jest złośliwa czy nie. Dlatego zawsze musimy traktować narzędzia jako dodatkowy krok weryfikujący i nie możemy im ufać w 100 %.
Pierwszym z takich narzędzi VirusTotal który znajduje się pod adresem virustotal.com. Jest to narzędzie dzięki któremu możemy sprawdzić zarówno URL ale również plik, przy czym należy pamiętać pliki, które przesyłamy nie mogą zawierać danych wrażliwych ponieważ a użytkownicy mający konta premium mogą je przeglądać i czytać zawartość. Poniżej posłużę się przykładem zawierającym adres z jakiego ja dostałem jeden z maili który był złośliwy oraz pokaże drugi przykład który będzie zawierał domenę która nie była używana do rozsyłania maili natomiast zawierała złośliwe oprogramowanie.
Przykład z domeną: idcyfqfwda.ru. Widać tutaj, że jeden z vendorów zgłasza ten adres jako SPAM. To już może być dla nas cenna wskazówka.
Przykład z gilimp.org – ta domena swego czasu, była widoczna w Google jako wykupiona reklama i była łudząco podobna do witryny gimp.org, z tą różnicą, że ta poniżej w instalatorze oprócz programu graficznego zawierała złośliwy kod.
Druga strona to jest serwis firmy Norton – jednego z producentów oprogramowania antywirusowego. Znajduje się on pod adresem safeweb.norton.com
Zasada działania jest bardzo podobna. Wpisujemy link do domeny z jakiej pochodzi adres email i klikamy sprawdź. Wynikiem jest ocena dodana przez nortona przez to narzędzie która zawiera klasyfikację czy Ta strona jest bezpieczna czy nie jest bezpieczna.
Poniżej zamieszczam przykłady tych samych stron, przeskanowanych narzędziem safeweb
Pamiętajcie, że gdy macie jakiekolwiek wątpliwości – nie klikajcie pochopnie, nie dajcie nabrać się na ponaglenia ze strony atakującego. ZAWSZE weryfikujcie adres nadawcy.
Niedługo przygotuję również wpis, opisujący jak można sprawdzić czy wiadomość jest złośliwa czy nie – oprócz sprawdzania adresów nadawcy.