Hosted Email Security proporciona información detallada acerca de los mensajes de correo electrónico detectados como posibles ataques de ingeniería social. Para ver los detalles de los ataques de ingeniería social, haga clic en el enlace Detalles que encontrará junto a la opción Ataque de ingeniería social de la pantalla Detalles de seguimiento del correo.
Estos registros solo están disponibles cuando se recibe dicho correo electrónico, la opción Ataque de ingeniería social está seleccionada Y la opción Activar el analizador virtual NO está seleccionada (en el campo Criterios de exploración de la política activa). Si ambas opciones están seleccionadas, recibirá el informe del analizador virtual con la información completa, incluidos los detalles sobre los ataques de ingeniería social.
En la siguiente tabla se enumeran las posibles razones por las que se detecta un ataque de ingeniería social.
|
Características del correo electrónico |
Descripción |
|---|---|
|
Nombres de hosts de remitentes inconsistentes |
Los nombres de hosts del ID de mensaje (<domain>) y del remitente (<domain>) no coinciden. |
|
Ruta de enrutamiento de correo rota |
Ruta de enrutamiento de correo rota del salto (<IP_address>) al salto (<IP_address>). |
|
La ruta de enrutamiento de correo electrónico contiene un servidor de correo electrónico con mala reputación. |
La ruta de enrutamiento de correo tiene un servidor de correo con mala reputación (<IP_address>). |
|
Intervalo de tiempo considerable durante el tránsito del mensaje de correo electrónico |
Se ha detectado un intervalo de tiempo considerable (<duration>) durante el tránsito del mensaje de correo electrónico entre saltos (<source> & <destination>) desde el (<date_time>) hasta el (<date_time>). |
|
Cuentas de destinatarios inconsistentes |
El destinatario del sobre (<email_address>) no coincide con el destinatario del encabezado (<email_address>). |
|
Es posible que la cuenta del remitente sea falsa, o bien que se haya producido una retransmisión o un reenvío inesperados. |
La cuenta del remitente que posiblemente sea falsa (<email_address>) está enviando mensajes de correo electrónico a través del host o la IP (<host_address>) cuyos ASN (<ASN_list>) no coinciden con los del remitente (<ASN_list>), o bien se ha producido una retransmisión o un reenvío inesperados en el servidor. |
|
Los mensajes de correo electrónico se transfieren por varias zonas horarias. |
El mensaje de correo electrónico se transfiere por varias zonas horarias (<time_zone_list>). |
|
Es posible que se haya producido un ataque de ingeniería social caracterizado por juegos de caracteres sospechosos en las entidades de correo electrónico. |
Se han identificado juegos de caracteres sospechosos (<character_set_list>) en un único mensaje de correo electrónico, lo que significa que este se ha originado en otro país. Este comportamiento es un indicador de ataque de ingeniería social. |
|
Infracción de los encabezados de tiempo |
Hay varios encabezados de tiempo (<date_time>, <date_time>) en un mensaje, lo que infringe el estándar RFC 5322, sección 3.6. |
|
Es posible que el remitente sea falso (Yahoo). |
El mensaje de correo electrónico reclamado desde Yahoo (<email_address>) ha perdido los encabezados requeridos. |
|
El adjunto contiene archivos ejecutables con nombres de extensión alterados. |
Los archivos ejecutables del adjunto comprimido (<file_name>) pretenden ocultarse como archivos comunes con los nombres de extensión alterados. |
|
La relación entre los encabezados de correos electrónicos relacionados de remitentes/destinatarios es anómala. |
La relación entre los encabezados de correos electrónicos relacionados de remitentes/destinatarios (<email_address>) es anómala. |
|
El archivo adjunto cifrado tiene la intención de eludir los motores de exploración antivirus. |
Es posible que el archivo adjunto cifrado (<file_name>) con contraseña (<password>) proporcionado en el contenido del correo electrónico pretenda eludir los motores de exploración antivirus. |
|
El archivo adjunto del correo electrónico podría ser aprovechable. |
El archivo adjunto del correo electrónico (<file_name>) podría ser aprovechable. |
|
El mensaje de correo electrónico podría enviarse desde un agente de correo de escritura automática debido a una codificación de transferencia anormal de entidades de correo electrónico. |
La codificación de transferencia de contenido (<encoding_type>) es anómala en el mensaje de correo electrónico. El mensaje de correo electrónico podría enviarse desde un agente de correo de escritura automática. |
|
El mensaje de correo electrónico contiene algunas palabras significativas. |
El mensaje de correo electrónico es menos significativo con solo algunos caracteres en el cuerpo de texto/HTML (<character_count>). |
|
Posible falseamiento del correo electrónico |
Se ha reclamado el mensaje de correo electrónico como un mensaje reenviado o respondido con etiquetado de asunto (<email_subject>), pero dicho mensaje no contiene los encabezados de correo electrónico correspondientes (RFC 5322). |
|
Los mensajes de correo electrónico se transfieren por varios ASN. |
El mensaje de correo electrónico se transfiere por varios ASN (<ASN_list>). |
|
Los mensajes de correo electrónico se transfieren por varios países. |
El mensaje de correo electrónico se transfiere por varios países (<country_code_list>). |
|
El comportamiento del tipo de contenido del mensaje de correo electrónico es anormal. |
El tipo de contenido del correo electrónico no debería tener atributos (<attribute_list>). |
|
Los archivos ejecutables se han guardado en el adjunto comprimido. |
Los archivos ejecutables se han guardado en el adjunto comprimido (<file_name>). |
|
Se han detectado tipos de archivos aprovechables en el adjunto comprimido. |
Se han detectado tipos de archivos aprovechables en el adjunto comprimido (<file_name>). |
|
Encabezado de cuenta del remitente potencialmente modificado |
El mensaje de correo electrónico se envió desde un cliente de correo o un proveedor de servicios (<user_agent>) que permite la modificación del alias o la dirección del remitente. |
|
Historial de conversación en el cuerpo del mensaje de correo electrónico |
El mensaje de correo electrónico incluye un historial de conversaciones entre (<email_account>) y (<email_account>). Este mensaje puede ser parte de un ataque de suplantación de identidad. |
|
Mensaje interno con un dominio de respuesta oculto |
El dominio de respuesta (<domain_name>) se ha ocultado para parecerse a los dominios de remitente y destinatario (domain_name). El mensaje de correo electrónico puede haberse ocultado para parecer interno. |
|
Mensaje interno con un dominio público de respuesta |
El dominio de respuesta (<domain_name>) pertenece a un servicio de mensajería pública, pero los dominios de remitente y destinatario son los mismos (<domain_name>). El mensaje de correo electrónico puede haberse ocultado para parecer interno. |
|
Alias del directivo de la empresa con dirección de dominio público |
El encabezado del remitente (<sender_header>) contiene un alias que parece ser un directivo de una empresa y una dirección de correo electrónico de un servicio de mensajería pública. |
|
Cuenta de respuesta oculta para ser similar a la cuenta del remitente |
La cuenta de respuesta (<email_account>) utiliza un dominio distinto, pero información similar a la de la cuenta del remitente (<email_account>) para ocultar las dos cuentas para que procedan del mismo individuo. |
|
Cuenta del remitente posiblemente asociada con ataques dirigidos |
La cuenta del remitente (<email_account>) se ha asociado con uno o más ataques dirigidos o ha tenido un comportamiento coherente con ataques dirigidos. |
|
Dominio del remitente oculto para ser similar al dominio del destinatario |
El dominio del remitente (<domain_name>) es diferente pero similar al dominio del destinatario (<domain_name>). El mensaje de correo electrónico puede haberse ocultado para parecer interno. |
|
Nombre de host del remitente posiblemente asociado con ataques dirigidos |
El nombre de host del remitente (<host_name>) se ha asociado con uno o más ataques dirigidos o ha tenido un comportamiento coherente con ataques dirigidos. |
|
Dirección IP del remitente posiblemente asociada con ataques dirigidos |
La dirección IP del remitente (<ip_address>) se ha asociado con uno o más ataques dirigidos o ha tenido un comportamiento coherente con ataques dirigidos. |