收到一封包含以下超链接的电子邮件
https://nam02.safelinks.protection.outlook.com/?url=http*3A*2F*2Factuallysale.com*2F&data=02*7C01*7C*7C548d20ace3ec4747fe1008d7d7d8b597*7C84df9e7fe9f640afb435aaaaaaaaaaaa*7C1*7C0*7C637215198062448150&sdata=nk69pKQ7jIMsMVSfWVFG*2B38GuiK08jysbwN114W*2BMpM*3D&reserved=0__;JSUlJSUlJSUlJSUlJSU!!FZtbJVnXfw!gfgjegEG3qJawMzvsQm9QRhNrDiubzuVygOX_4wENNasy-WnA7vie2xl_WVQEUA0rg$
我用 urlscan.io 和 virustotal.com 检查了 URL,但我找不到任何东西。
我怎么知道这是否是网络钓鱼/恶意软件?我要寻找什么?
根据这是组织电子邮件还是 Outlook.com,它是以下之一:
这会将电子邮件中的可疑链接替换为 https://*.safelinks.protection.outlook.com/*链接。如果用户点击链接,它首先会转到微软的网站,然后评估它是否认为该链接是安全的,然后将用户转到原始网站或发出警告。(ATP 安全链接的工作原理。)
它破坏了 URL 的可见性。通常,用户通过检查他的答案中描述的 schroeder 的 URL 来决定链接是否安全。按照这种方法,用户可能会认为这是outlook.com/通过安全 TLS 连接来自可信站点的 URL https://。它甚至在 URL 中明确提到它是一个安全链接,并且您受到保护。但是该链接可能只是安全的,并且保护可能会错误地检测到它,从而将用户重定向到恶意站点。这抵消了为教育用户如何处理可疑 URL 而付出的所有辛勤工作。
很容易绕过。例如,Cryptron Security对 O365 ATP的安全分析表明,可以通过以下方式绕过 ATP 安全链接
<a x=">" href="ATP 安全链接未将其识别为链接的略微修改的标签<form action= "而不是链接(或其他一些更聪明的 HTML 技巧)https://www.google.com/url?sa=D&q=https://evil.example.com.提供一种虚假的安全感,使人们再次鲁莽地点击所有链接。
微软安全链接使 Office 365 变得不那么安全的 5 个原因补充说,保护主要是基于黑名单的,不能处理 0 天/未知 URL(虽然它是在宣传 Avanan 自己的产品,但这是一篇很好的文章)。
Owen Nelson 的The Problem With Microsoft's Safelinks增加了隐私问题:Microsoft 和 Office 365 租户的管理员都可以看到可能包含敏感信息的原始 URL。
由于这些不是直接 URL,因此urlscan.io&virustotal.com不适用于它们。
Outlook Web Access 会重写所有 URL 以通过其过滤器,因此如果您检查整个 URL,您得到的只是“outlook.com 是否恶意?” 当然答案是否定的。该链接将重定向到“ht tp://actually sale.com/”(删除空格以将其变回真实 URL)。这些*字符似乎可以替代用于标记编码 URL 参数的 % 字符;不知道他们为什么这样做,但我希望他们有理由。此外,还添加了一些 URL 参数——“data”、“sdata”和“reserved”参数——它们似乎是重定向 URL 的一部分,而不是它们重定向到的 URL。由于某种原因,它们可能是由 Outlook.com 添加的,
至于链接到的站点是否在某种程度上是恶意的:我不知道“actuallysale-dot-com”域的用途,但听起来确实很粗略。也就是说,这可能并不比骗局网站试图向您出售正品仿冒产品或类似的东西更糟糕。无法识别发送给谁的短 URL 使其不太可能成为任何类型的推荐跟踪服务。
该网站本身当然可能是一个网络钓鱼网站,但如果不访问,就无法确定,如果没有电子邮件的其余部分,我什至无法猜测。它也可能是其他类型的恶意,例如对您的浏览器进行攻击(通过渲染引擎/JS 运行时错误),对另一个站点的攻击(通过 XSS、CSRF、点击劫持或类似的网络安全错误),甚至是用 JS 编写的浏览器内加密货币矿工。可能不是其中任何一个,但我不能在不检查的情况下肯定地说,这将取决于你。
对于它的价值,虽然“actuallysale dot com”是一个真实的域 - IP 地址 198.105.254.23 - 我没有看到任何“whois”信息。此外,它是 HTTP 链接而不是 HTTPS 的事实是粗略的。如今,没有太多理由将 HTTP 用于任何事情,而对于涉及任何东西的销售的合法网站则根本没有。
URL 可能很难解释,但有一个技巧可以帮助大多数 URL:
https://.直到到达第一个/. 首先/是关键。
nam02.safelinks.protection.outlook.comoutlook.comwww.google.com.dvdr4g3.co <--- 这不去谷歌一旦你开始看到这个,你的大脑就会自动寻找那个/和真正的网站域。
既然您知道它要去的网站,现在您可以考虑上下文。
但正如我所说,这也不是万无一失的。有些人使用合法和知名的网络服务,如谷歌,来隐藏另一个网站。有时合法的链接可能看起来像是来自另一个网站或服务,例如群发电子邮件服务(Mailchimp 等)。但是使用“它是否有意义”测试也可以帮助处理许多此类网络钓鱼链接。
尽管如此,在您有使用经验之前,很难确定一个新网站是否是网络钓鱼。
最重要的是,网络钓鱼者一直在寻找新的方法来制作棘手的 URL。但是,大多数都没有,也不需要。我已经发送了带有链接的模拟网络钓鱼电子邮件,www.google.com.phishys.com人们仍然点击,因为他们认为这是谷歌。
就个人而言,我认为这是一个组织检查员工是否仍在点击可疑电子邮件中的链接的方式。在过去十年左右的时间里,我们的 IT 安全部门在“网络钓鱼和诈骗意识活动”中使用了类似的策略。我从未听说过任何人无意中点击了任何此类链接的任何“后果”。(免责声明:这可能只是谣言和猜测,因为 IT 安全从未真正告诉我们任何事情,因为它都是“机密”的)