Details zum Social-Engineering-Angriff-Log

Inkonsistente Absender-Host-Namen

Der Host-Name der Message-ID (<host_name>) stimmt nicht mit dem Host-Name des Absenders (<host_name>) überein.

Fehlerhafter Mail-Routing-Pfad

Unterbrochener E-Mail-Routingpfad von Hop (<IP_address>) zu Hop (<IP_address>).

Mail-Routing-Pfad enthält Mail-Server mit unzulässiger Reputation

Der Mail-Routing-Pfad enthält Mail-Server mit unzulässiger Reputation (<IP_address>).

Erheblicher Zeitunterschied bei der Übertragung von E-Mail-Nachrichten

Erheblicher Zeitunterschied (<duration>) während des E-Mail-Nachrichtentransits zwischen den Hops (<source> & <destination>) von Zeit (<date_time>) bis Zeit (<date_time>) festgestellt.

Inkonsistente Empfängerkonten

Empfänger im Umschlag (<email_address>) ist nicht mit dem Empfänger im Header (<email_address>) identisch.

Inkonsistente Absender-ASNs oder unerwartete Weiterleitung

Der Absender-Host (<host_address>) gehört zu einem ASN (<ASN>), das nicht mit dem ASN (<ASN>) des Absenderkontos (<email_address>) übereinstimmt. Diese Nachricht kann von einer unerwarteten serverseitigen Weiterleitung oder einem Relay stammen.

E-Mail-Nachricht durchquert mehrere Zeitzonen

Die E-Mail-Nachricht durchquert mehrere Zeitzonen (<time_zone_list>).

Möglicher Social-Engineering-Angriff, gekennzeichnet durch verdächtige Zeichensätze in E-Mail-Entitäten

Verdächtige Zeichensätze (<character_set_list>) werden in einer einzigen E-Mail-Nachricht identifiziert. Dies impliziert, dass die E-Mail-Nachricht aus einer fremden Region stammt. Dieses Verhalten ist ein Indikator für einen Social-Engineering-Angriff.

Verstoß gegen Zeit-Header

In einer Nachricht gibt es mehrere Zeit-Header (<date_time>, <date_time>). Dies ist ein Verstoß gegen RFC5322, Abschnitt 3.6.

Bösartige Client-IP-Adresse

Die Client-IP-Adresse (<IP_address>) wurde mit bekannter bösartiger Aktivität in Verbindung gebracht

Möglicherweise gefälschter Absender (Yahoo)

Die von Yahoo (<email_address>) beanspruchte E-Mail-Nachricht hat erforderliche Header verloren.

Ausführbare Dateien mit manipulierten Erweiterungsnamen im Anhang

Dateien im komprimierten Anhang (<file_name>) können ausführbare Dateien mit geänderten Erweiterungsnamen sein.

Anomale Beziehung zwischen Absender/Empfänger-bezogenen E-Mail-Headern

Anomale Beziehung zwischen Absender/Empfänger-bezogenen E-Mail-Headern (<email_address>).

Verschlüsselter Anhang beabsichtigt, Antiviren-Scan-Engines zu umgehen

Der verschlüsselte Anhang (<file_name>) mit dem Kennwort (<password>), der im E-Mail-Inhalt bereitgestellt wird, beabsichtigt möglicherweise, die Virensuch-Engines zu umgehen.

Ausnutzbarer Anhang

Die angehängte Datei (<file_name>) könnte Exploits enthalten.

E-Mail-Nachricht wird möglicherweise von einem selbstgeschriebenen Mail-Agent aufgrund einer ungewöhnlichen Übertragungsverschlüsselung in E-Mail-Entitäten gesendet

Content-Transfer-Encoding (<encoding_type>) ist in der E-Mail-Nachricht ungewöhnlich. Die E-Mail-Nachricht wird möglicherweise von einem selbst geschriebenen Mail-Agent gesendet.

Kurznachrichtentext

Der Textkörper oder der HTML-Text der E-Mail ist kurz. Die Textlänge (<character_count> Zeichen, für Textkörper/HTML-Text jeweils) könnte darauf hindeuten, dass der E-Mail-Inhalt wenig Bedeutung hat.

Antworten oder weitergeleitete E-Mail enthält keine entsprechenden Header

Die E-Mail-Nachricht wurde als weitergeleitete oder beantwortete Nachricht mit Betreff-Tagging (<email_subject>) beansprucht, aber die E-Mail-Nachricht enthält keine entsprechenden E-Mail-Header (RFC 5322).

E-Mail-Nachricht durchläuft mehrere ASNs

Die E-Mail-Nachricht durchläuft mehrere ASNs (<ASN_list>).

E-Mail-Nachricht durchläuft mehrere Länder

Die E-Mail-Nachricht durchläuft mehrere Länder (<country_code_list>).

Anormales Content-Type-Verhalten in E-Mail-Nachricht

Content-Type in E-Mail-Inhalt sollte nicht über die Attribute (<attribute_list>) verfügen.

Ausführbare Dateien, die im komprimierten Anhang archiviert sind

Der komprimierte Anhang (<file_name>) enthält ausführbare Dateien.

Im komprimierten Anhang erkannte ausnutzbare Dateitypen

Der komprimierte Anhang (<file_name>) enthält ausnutzbare Dateitypen.

Inkonsistente Host-Domains oder unerwartetes Relay oder Weiterleitung

Der Absender-Host (<host_address>) gehört zu einer anderen Domäne als das Absenderkonto (<email_address>). Diese Nachricht kann durch eine unerwartete serverseitige Weiterleitung oder ein Relay auftreten.

E-Mail-Spitzname stimmt nicht mit der E-Mail-Adresse überein

Das Empfängerkonto verwendet einen E-Mail-Spitznamen (<nickname>), der nicht mit seiner E-Mail-Adresse (<email_address>) übereinstimmt.

Das Absenderkonto stimmt nicht mit dem Antwortkonto überein

Das Absenderkonto (<email_account>) stimmt nicht mit dem Antwortkonto (<email_account>) überein.

Absender Host-Name ist möglicherweise mit gezielten Angriffen verbunden

Der Absender-Host-Name (<host_name>) wurde mit einem oder mehreren gezielten Angriffen in Verbindung gebracht oder hat ein Verhalten gezeigt, das mit gezielten Angriffen übereinstimmt.

Absender-IP-Adresse möglicherweise mit gezielten Angriffen verbunden

Die Absender-IP-Adresse (<ip_address>) wurde mit einem oder mehreren gezielten Angriffen in Verbindung gebracht oder hat ein Verhalten gezeigt, das mit gezielten Angriffen übereinstimmt.

Absenderkonto möglicherweise mit gezielten Angriffen verbunden

Das Absenderkonto (<email_account>) wurde mit einem oder mehreren gezielten Angriffen in Verbindung gebracht oder hat ein Verhalten gezeigt, das mit gezielten Angriffen übereinstimmt.

Absenderkonto-Header möglicherweise geändert

Die E-Mail-Nachricht wurde von einem E-Mail-Client oder Dienstanbieter (<user_agent>) gesendet, der die Änderung der Absenderadresse oder des Kurznamens zulässt.

Interne E-Mail-Adresse mit einer öffentlichen Antwortdomäne

Die Antwortdomäne (<domain_name>) gehört zu einem öffentlichen Messaging-Dienst, aber die Absender- und Empfängerdomänen sind identisch (<domain_name>). Die E-Mail-Nachricht kann so getarnt werden, dass sie intern erscheint.

Interne E-Mail-Adresse mit einer getarnten Antwortdomäne

Die Antwortdomäne (<domain_name>) wurde so getarnt, dass sie der Absender- und Empfängerdomäne (domain_name) ähnlich ist. Die E-Mail-Nachricht kann so getarnt werden, dass sie intern erscheint.

Antwortkonto, das so getarnt ist, dass es dem Absenderkonto ähnlich ist

Das Antwortkonto (<email_account>) verwendet eine andere Domäne, aber ähnliche Informationen wie das Absenderkonto (<email_account>), um die beiden Konten als von derselben Person stammend zu tarnen.

Konversationsverlauf im E-Mail-Text

Die E-Mail-Nachricht enthält einen Konversationsverlauf zwischen (<email_account>) und (<email_account>). Diese E-Mail-Nachricht ist möglicherweise Teil eines Man-in-the-Middle-Angriffs.

Kurzname der Unternehmensleitung mit der Adresse der öffentlichen Domäne

Der Absender-Header (<sender_header>) enthält einen Kurznamen, der den Anschein erweckt, ein leitender Angestellter des Unternehmens zu sein, und eine E-Mail-Adresse von einem öffentlichen Messaging-Dienst.

Absenderdomäne getarnt, um der Empfängerdomäne zu ähneln

Die Absenderdomäne (<domain_name>) ist anders als, aber ähnlich wie die Empfängerdomäne (<domain_name>). Die E-Mail-Nachricht kann so getarnt werden, dass sie intern erscheint.

Möglicherweise trügerischer Nachrichten-Header-Text

Da (<header_text>) (<header_text>) sehr ähnelt, soll diese Nachricht den Empfänger offensichtlich täuschen.

Nachricht enthält verdächtigen Inhalt

Ein Teil des Texts in der Nachricht erfüllt die Kriterien für die (<category_name>)-Kategorie, die eine mögliche Absicht angibt, den Empfänger zu täuschen.

Name eines geschützten Absenders, der mit einer verdächtigen Domäne verwendet wird

Die Nachricht verwendet den Namen (<sender_name>) in Kombination mit einer unbekannten Domäne in einem offensichtlichen Versuch, den Empfänger zu täuschen.