使用电子邮件传送的自动恶意链接(Reddit、LinkedIn、Package)
最近,我所在的公司充斥着不同方式的网络钓鱼电子邮件:假装是Reddit或LinkedIn,关于新的追随者或包裹递送状态/问题的信息,等等。
每个恶意电子邮件都来自不同的域,它们包含的消息主体和主题略有不同,以及各种链接。
我怀疑这个活动是用某种自动化工具(自动域名注册,带有参数的电子邮件模板)创建的。
不同的电子邮件发件人地址、IP和标头使得在电子邮件服务器端难以阻止.所以我想找另一个解决办法来阻止这个。例如,在web过滤器级别阻止这些电子邮件的链接.
我在每封电子邮件中看到的相似之处是与PHP脚本和两个参数( utm_source和utm_content )的链接。
http://[domain1.com]/[some-script.php]?utm_source=1&utm_content=510ad2e
http://[domain2.com]/wp-content/uploads/2021/[some-script.php]?utm_source=483edc7a&utm_content=e1ed
http://[domain3.com]/[some-script.php]?utm_source=dc3abe0&utm_content=f7a642这仍然不是一个强有力的指标。我认为许多合法的链接也可以有这两个参数,但这是一个开始。
有谁知道这个活动使用的工具,或者它可以指示被阻塞的一些常用参数和函数(无论是在电子邮件服务器级别还是在web过滤器级别)?
。
我可以过滤哪些常见的电子邮件正文或邮件头指示符?
回答 1
Security用户
发布于 2022-02-11 11:28:27
utm_不是一个开始,因为这太常见了,不能用作区分器。
而且你还没有提供足够的细节来确定哪些工具可能被用来创建电子邮件。
最简单的方法是搜索Subject字段中的"LinkedIn“,并将其与发送方域进行比较。如果主题提到"LinkedIn“而发送者不是LinkedIn,那么阻塞。Reddit和航运公司也是如此。
但坦率地说,听起来你需要一个商业电子邮件安全工具。有很多因素需要考虑,如果你自己去做的话,你最终会试图重新发明轮子。
我通常不建议人们购买自己的解决方案,但在设计了我自己的电子邮件安全过滤器,并购买了商业解决方案之后,你最终会节省大量的时间,避免头痛,如果你开始商业化,最终会得到一个更好的结果。
https://security.stackexchange.com/questions/259517
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号