Hosted Email Security bietet detaillierte Informationen über E-Mails, die als mögliche Social-Engineering-Angriffe erkannt wurden. Wenn Sie Details zu den Social-Engineering-Angriffen anzeigen möchten, klicken Sie im Bildschirm Details zur Mail-Nachverfolgung auf den Link Details neben Social-Engineering-Angriff.
Diese Protokolle sind nur verfügbar, wenn solche E-Mails eingehen, die Option Schutz vor Social-Engineering-Angriffen ausgewählt ist UND die Option Virtual Analyzer aktivieren NICHT ausgewählt wurde (in den Suchkriterien der aktiven Richtlinie). Wenn beide Optionen ausgewählt wurden, erhalten Sie einen Virtual Analyzer-Bericht mit den vollständigen Informationen, einschließlich den Informationen über Social-Engineering-Angriffe.
In der folgenden Tabelle werden die möglichen Gründe für Erkennungen von Social-Engineering-Angriffen aufgelistet.
|
E-Mail-Merkmale |
Beschreibung |
|---|---|
|
Inkonsistente Absenderhostnamen |
Inkonsistente Hostnamen für Nachrichten-ID (<Domäne>) und Von (<Domäne>). |
|
Unterbrochener E-Mail-Routing-Pfad |
Unterbrochener E-Mail-Routing-Pfad von Hop (<IP_Addresse>) zu Hop (<IP_Addresse>). |
|
Mail-Routing-Pfad enthält Mail-Server mit schlechter Reputation |
Der E-Mail-Routing-Pfad enthält E-Mail-Server mit schlechter Reputation (<IP_Adresse>). |
|
Erhebliche Zeitverzögerung während E-Mail-Nachrichtenübertragung |
Erhebliche Zeitverzögerung (<Dauer>) während der E-Mail-Übertragung zwischen den Hops (<Quelle> & <Ziel>) von Zeitpunkt (<Datum_Zeit>) bis Zeitpunkt (<Datum_Zeit>) erkannt. |
|
Inkonsistente Empfängerkonten |
Der Envelope-Empfänger (<E_Mail_Adresse>) ist nicht mit dem Empfänger in der Kopfzeile (<E_Mail_Adresse>) konsistent. |
|
Möglicherweise gefälschtes Absenderkonto oder unerwartete Vermittlung/Weiterleitung |
Ein möglicherweise gefälschtes Absenderkonto (<E_Mail_Adresse>) sendet E-Mails über Host/IP (<Host_Adresse>), deren ASNs (<ASN_Liste>) nicht mit den ASNs des Absenders (<ASN_Liste>) konsistent sind, bzw. unerwartetes Relay/Forward vom Server. |
|
E-Mail-Nachricht passiert mehrere Zeitzonen |
Die E-Mail-Nachricht passiert mehrere Zeitzonen (<Zeitzonenliste>). |
|
Möglicher Social-Engineering-Angriff, charakterisiert durch verdächtige Zeichensätze in E-Mail-Entitäten |
In einer E-Mail-Nachricht wurden verdächtige Zeichensätze (<Zeichensatzliste>) festgestellt. Dies impliziert, dass die E-Mail-Nachricht aus einer anderen Region stammt. Dieses Verhalten ist ein Anzeichen für einen Social-Engineering-Angriff. |
|
Verstoß gegen Zeitkopfzeile |
In einer Nachricht befinden sich mehrere Zeit-Kopfzeilen (<Datum_Zeit>, <Datum_Zeit>). Dies verstößt gegen RFC5322 Abschnitt 3.6. |
|
Möglicherweise gefälschter Absender (Yahoo) |
In der angeblich von Yahoo (<E_Mail_Adresse>) stammenden E-Mail-Nachricht fehlen obligatorische Kopfzeilen. |
|
Ausführbare Dateien mit manipulierten Erweiterungsbezeichnungen im Anhang |
Ausführbare Dateien in einem komprimierten Anhang (<Dateiname>) versuchen, sich mithilfe von manipulierten Erweiterungsbezeichnungen als normale Dateien auszugeben. |
|
Anomale Beziehung zwischen Absender/Empfänger betreffenden E-Mail-Kopfzeilen |
Anomale Beziehung zwischen Absender/Empfänger betreffenden E-Mail-Kopfzeilen (<E_Mail_Adresse>). |
|
Verschlüsselter Anhang versucht, Antivirus-Scan-Engines zu umgehen |
Verschlüsselter Anhang (<Dateiname>) mit Kennwort (<Kennwort>) im E-Mail-Text versucht möglicherweise, die Antivirus-Scan-Engines zu umgehen. |
|
E-Mail-Anhang könnte ausnutzbar sein |
E-Mail-Anhang (<Dateiname>) könnte ausnutzbar sein. |
|
E-Mail-Nachricht aufgrund anomaler Übertragungscodierung in E-Mail-Entitäten möglicherweise von einem selbstgeschriebenen Mail-Agent gesendet |
Übertragungscodierung des Inhalts (Content-Transfer-Encoding) (<Codierungstyp>) in der E-Mail ist anomal. Die E-Mail-Nachricht wurde möglicherweise von einem selbstgeschriebenen Mail-Agent gesendet. |
|
Wenige aussagekräftige Wörter in der E-Mail-Nachricht |
Die E-Mail ist wegen der wenigen Wörter im Text/HTML-Körper wenig aussagekräftig (<Zeichenanzahl>). |
|
Möglicherweise E-Mail-Spoofing |
Diese E-Mail-Nachricht wurde angeblich als Weiterleitung oder Antwort mit Betreff-Tagging (<E_Mail_Betreff>) gesendet, aber die E-Mail-Nachricht enthält keine entsprechenden E-Mail-Kopfzeilen (RFC 5322). |
|
E-Mail-Nachricht passiert mehrere ASNs |
Die E-Mail-Nachricht passiert mehrere ASNs (<ASN_Liste>). |
|
E-Mail-Nachricht durchquert mehrere Länder |
Die E-Mail-Nachricht passiert mehrere Länder (<Ländercode_Liste>). |
|
Anomales Inhaltstypverhalten in E-Mail-Nachricht |
Inhaltstyp im E-Mail-Inhalt darf keine Attribute haben (<Attributliste>). |
|
Ausführbare Dateien in komprimiertem Anhang archiviert |
Ausführbare Dateien in komprimiertem Anhang archiviert (<Dateiname>). |
|
Ausnutzbare Dateitypen in komprimiertem Anhang erkannt |
Ausnutzbare Dateien in komprimiertem Anhang erkannt (<Dateiname>). |
|
Kopfzeile des Absenderkontos wurde möglicherweise geändert |
Diese E-Mail wurde von einem E-Mail-Client oder Service Provider (<Benutzeragent>) gesendet, bei dem eine Änderung der Absenderadresse oder des E-Mail-Alias möglich ist. |
|
Gesprächsverlauf im E-Mail-Text |
Die E-Mail enthält einen Gesprächsverlauf zwischen (<E_Mail_Konto>) und (<E_Mail_Konto>). Diese E-Mail ist möglicherweise Teil eines Janusangriffs. |
|
Interne Nachricht mit einer getarnten Antwort-Domäne |
Die Antwort-Domäne (<Domänenname>) wurde getarnt und scheint mit der Absender- und Empfänger-Domäne identisch zu sein (Domänenname). Die E-Mail ist möglicherweise als interne Nachricht getarnt. |
|
Interne Nachricht mit einer öffentlichen Antworten-Domäne |
Die Antwort-Domäne (<Domänenname>) ist Bestandteil eines öffentlichen E-Mail-Dienstes, aber die Absender- und Empfänger-Domänen sind identisch (<Domänenname>). Die E-Mail ist möglicherweise als interne Nachricht getarnt. |
|
E-Mail-Alias einer Führungskraft des Unternehmens mit öffentlicher Domänenadresse |
Die Kopfzeile des Absenders (<Absender_Kopfzeile>) enthält ein E-Mail-Alias, das scheinbar einer Führungskraft des Unternehmens gehört, sowie die E-Mail-Adresse eines öffentlichen E-Mail-Dienstes. |
|
Empfängerkonto wurde getarnt und scheint mit dem Absenderkonto identisch zu sein |
Das Empfängerkonto (<E_Mail_Konto>) verwendet eine andere Domäne, aber identische Informationen für das Absenderkonto (<E_Mail_Konto>), um zu verschleiern, dass beide Konten derselben Person gehören. |
|
Absenderkonto steht möglicherweise mit gezielten Angriffen in Verbindung |
Das Absenderkonto (<E_Mail_Konto>) wird mit mindestens einem gezielten Angriff in Verbindung gebracht oder zeigt ein Verhalten, das auf einen gezielten Angriff hindeutet. |
|
Absenderdomäne wurde getarnt und scheint mit der Empfängerdomäne identisch zu sein |
Die Absenderdomäne (<Domänenname>) ist anders als die Empfängerdomäne, jedoch sehr ähnlich (<Domänenname>). Die E-Mail ist möglicherweise als interne Nachricht getarnt. |
|
Absenderhostname steht möglicherweise mit gezielten Angriffen in Verbindung |
Der Absenderhostname (<Hostname>) wird mit mindestens einem gezielten Angriff in Verbindung gebracht oder zeigt ein Verhalten, das auf einen gezielten Angriff hindeutet. |
|
Absender-IP-Adresse steht möglicherweise mit gezielten Angriffen in Verbindung |
Die Absender-IP-Adresse (<IP_Adresse>) wird mit mindestens einem gezielten Angriff in Verbindung gebracht oder zeigt ein Verhalten, das auf einen gezielten Angriff hindeutet. |