Я получаю электронные письма от "[email protected]" (как подтверждено в метаданных) о необычной активности. В Интернете есть очень противоречивая информация о том, являются ли эти электронные письма законными или нет. На [собственном сайте] Microsoft1 говорится, что это их законный адрес отправителя для оповещений об активности учетной записи.
Законное электронное сообщение должно исходить от команды по работе с учетными записями Microsoft по адресу [email protected].
Но здесь справочная служба колледжа Джорджии называет именно это письмо, полученное именно с этого адреса отправителя, попыткой фишинга.
Многие люди в GC получают одно из самых популярных фишинговых писем. Оказывается, оно от Microsoft, "Предупреждение о безопасности". с просьбой подтвердить подлинность вашей учетной записи. Знайте, что это не от Microsoft. Это очень сложный фишинг. Не нажимайте ни на одну ссылку в этом письме. Пожалуйста, удалите его. Если вы все же нажали на ссылку в этом письме, пожалуйста сбросьте свой пароль Unify (и последующий пароль электронной почты) на сайте password.gcsu.edu.
From: Команда учетных записей Microsoft [email protected]
Отправлено: Понедельник, Апрель 3, 2017 3:36 AM
Тема: Предупреждение о безопасности учетной записи Microsoft
В других местах в Интернете есть такая же противоречивая информация. В некоторых местах эти письма перечислены как мошеннические, но на скриншоте примера указан другой адрес отправителя, в котором отсутствует "microsoft.com" в домене, что выглядит более поддельным.
**Так что же это? Являются ли эти электронные письма с адреса "[email protected]" подделкой или нет?
Вы не можете доверять правильности адреса отправителя. Их очень легко подделать.
Протокол SMTP (электронная почта) позволяет создателю письма указывать любой адрес отправителя, какой он пожелает. Нет никакой проверки того, что отправитель действительно контролирует этот адрес. И даже если принимающий почтовый сервер выполняет некоторую форму проверки отправителя, например, проверяет, совпадает ли IP-адрес отправителя с доменом, на который он претендует, в пользовательском интерфейсе многих программ для чтения электронной почты также есть некоторые причуды, которые можно использовать для отображения (поддельного) адреса электронной почты в качестве имени отправителя.
Когда вы получаете письмо, в котором утверждается, что вам нужно сделать что-то на каком-то сайте, и это кажется правдоподобным (у вас действительно есть аккаунт на этом сайте), внимательно посмотрите на URL, на который ведет ссылка. Доменное имя говорит о том, кто контролирует эту ссылку. Доменное имя - это то, что идет перед первой косой чертой.
Все эти URL-адреса ведут на Microsoft:
https://microsoft.com/account
https://account.microsoft.com/account
https://account.microsoft.com/account?someTrackingId=689392356034706528902345
Следующие URL - это примеры, которые не ведут на Microsoft. Все они ведут на домены, которые могут контролироваться кем-то другим:
https://microsoft.com.example.com/account
https://example.com/microsoft.com/account
https://example.com/?https://account.microsoft.com/account
https://example.com/#https://account.microsoft.com/account
https://totallylegitaccountportaljusttrustme-microsoft.com/account
https://microsoft.com:[email protected]
Последний является примером редко используемого формата URL, который включает имя пользователя и пароль (которые в данном случае оба microsoft.com
). Фактический запрашиваемый URL находится после символа @
.
Если вы решили, что ссылка вероятно нормальная, щелкнули по ней и попали на форму входа в систему, которая на первый взгляд выглядит надежной и, очевидно, еще не установила вредоносное ПО с помощью drive-by download, то вам также следует проверить, загружен ли сайт по HTTPS (любой уважаемый сайт будет использовать https-only на своей форме входа в систему) и проверить, действительно ли сертификат подписан для компании, за которую себя выдает сайт.
В некоторых руководствах по обнаружению попыток фишинга говорится, что следует искать такие признаки, как битые изображения или неработающие ссылки. Я считаю это плохим советом, поскольку он основан на предубеждении, что все фишеры - никудышные веб-мастера. За последние годы эта сцена стала гораздо более профессиональной. Вам следует сосредоточить свое внимание на тех вещах, которые они не могут подделать, приложив достаточно усилий.
Адрес отправителя в электронном письме не должен использоваться для определения того, является ли письмо законным, он может использоваться только для определения того, когда письмо не является таковым. Письмо, выдающее себя за письмо от Paypal и отправленное с адреса gmail.com
, явно поддельное. Письмо, утверждающее, что оно от Microsoft, отправленное с адреса microsoft.com
, может быть настоящим, а может и не быть.
Как определить разницу? По телу письма.
Если письмо содержит ссылки, которые указывают на какую-либо службу, не связанную с Microsoft, или сокращенные ссылки, или ссылки с IP-адресами, это письмо является попыткой фишинга.
Если письмо содержит ошибки в написании, обычно оно является ложным. Если в письме говорится о какой-либо службе, на которую вы не подписаны, это тоже фальшивка.
Обычно в законных письмах, содержащих ссылки, есть фраза "копируйте эту ссылку и вставьте в браузер". Если письмо содержит эту строку и текст ссылки указывает на службу Microsoft, а подчеркнутая ссылка указывает точно на тот же адрес, обычно письмо настоящее.
Если письмо сообщает вам о том, что в вашей учетной записи что-то не так, войдите в свою учетную запись и проверьте, без нажатия на ссылку в письме. Введите адрес вручную. Если что-то не так, вы увидите это на сайте.