Hosted Email Security fournit des informations détaillés sur les e-mails détectés comme possibles attaques d'ingénierie sociale. Pour afficher ces détails, cliquez sur le lien Détails en regard d'Attaque d'ingénierie sociale dans l'écran Détails du suivi des messages.
Ces journaux sont disponibles uniquement lorsque cet e-mail est reçu, que l’option Attaque d’ingénierie sociale est sélectionnée ET que l’option Activer l’analyseur virtuel n’est PAS sélectionnée (dans Critères de scan de la stratégie active). Si ces deux options sont activées, vous recevrez un rapport de l’analyseur virtuel contenant des informations complètes, y compris des informations sur l’attaque d’ingénierie sociale.
Le tableau suivant répertorie les raisons possibles de détection des attaques d'ingénierie sociale.
|
Caractéristiques de l'e-mail |
Description |
|---|---|
|
Noms d'hôtes d'expéditeurs incohérents |
Noms d'hôtes incohérents entre ID message (<domaine>) et De (<domaine>). |
|
Itinéraire de routage de l'e-mail interrompu |
Itinéraire de routage de l'e-mail interrompu entre les sauts (<adresse_IP>) et (<adresse_IP>). |
|
L'itinéraire de routage de l'e-mail contient un serveur de messagerie dont la réputation est mauvaise |
L'itinéraire de routage de l'e-mail contient un serveur de messagerie dont la réputation est mauvaise (<adresse_IP>). |
|
Laps de temps important pendant le transit du message électronique |
Laps de temps important (<durée>) détecté pendant le transit du message électronique entre les sauts (<source> & <destination>) de (<date_heure>) à (<date_heure>). |
|
Comptes de destinataires incohérents |
Le destinataire de l'enveloppe (<adresse_e-mail>) est incohérent avec le destinataire de l'en-tête (<adresse_e-mail>). |
|
Compte d'expéditeur probablement falsifié ou relais/transfert inattendu |
Un compte d'expéditeur probablement falsifié (<adresse_e-mail>) envoie des e-mails via l'hôte/IP (<adresse_hôte>) dont les ASN (<liste_ASN>) sont incohérents avec ceux de l'expéditeur (<liste_ASN>) ; ou relais/transfert inattendu côté serveur. |
|
Le message électronique parcourt plusieurs fuseaux horaires |
Le message électronique parcourt plusieurs fuseaux horaires (<liste_fuseaux_horaires>). |
|
Possibles attaques d'ingénierie sociale caractérisées par des jeux de caractères suspects dans des entités d'e-mail |
Des jeux de caractères suspects (<liste_caractères_suspects>) sont identifiés dans un e-mail individuel, indiquant que l'e-mail provient d'une région étrangère. Ce comportement est un indicateur d'attaque d'ingénierie sociale. |
|
Violation des en-têtes d'heure |
Un message comporte plusieurs en-têtes d'heure (<date_heure>, <date_heure>), ce qui est en infraction avec RFC5322 section 3.6. |
|
Expéditeur probablement falsifié (Yahoo) |
L'e-mail annoncé comme émanant de Yahoo (<adresse_e-mail>) ne comporte pas les en-têtes requis. |
|
Fichiers exécutables comportant des noms d'extension altérés dans la pièce jointe |
Des fichiers exécutables dans une pièce jointe compressée (<nom_fichier>) tentent de se faire passer pour des fichiers ordinaires avec des noms d'extension altérés. |
|
Relation anormale entre les en-têtes d'e-mail de l'expéditeur ou des destinataires associés |
Relation anormale entre les en-têtes d'e-mail de l'expéditeur ou des destinataires associés (<adresse_e-mail>). |
|
La pièce jointe chiffrée est destinée à contourner les moteurs de scan antivirus |
Une pièce jointe chiffrée (<nom_fichier>) avec mot de passe (<mot_de_passe>) fournie dans le contenu d'un e-mail tente probablement de contourner les moteurs de scan antivirus. |
|
La pièce jointe à l'e-mail pourrait être exploitable |
La pièce jointe à l'e-mail (<nom_fichier>) pourrait être exploitable. |
|
Le message électronique est peut-être envoyé par un agent de messagerie qui le rédige automatiquement en raison d'un chiffrement de transfert anormal dans les entités d'e-mail |
Le champ Content-Transfer-Encoding (<type_encodage>) est anormal dans l'e-mail. Le message électronique est peut-être envoyé par un agent de messagerie qui le rédige automatiquement. |
|
Peu de mots compréhensibles dans le message électronique |
Le message électronique n'est pas assez compréhensible, ne contenant que quelques caractères dans le corps du message en format texte/HTML (<nombre_caractères>). |
|
Usurpation possible d'adresse e-mail |
Le message électronique a été présenté comme un transfert ou une réponse avec un balisage dans la ligne d'objet (<objet_message>), mais il ne contient pas d'en-têtes d'e-mail correspondants (RFC 5322). |
|
Le message électronique parcourt plusieurs APE |
Le message électronique parcourt plusieurs ASN (<liste_ASN>). |
|
Le message électronique parcourt plusieurs pays |
Le message électronique parcourt plusieurs pays (<liste_codes_pays>). |
|
Comportement anormal du type de contenu dans le message électronique |
Le type de contenu dans le message électronique ne peut pas avoir d'attributs (<liste_attributs>). |
|
Fichiers exécutables archivés dans la pièce jointe compressée |
Fichiers exécutables archivés dans la pièce jointe compressée (<nom_fichier>). |
|
Types de fichiers exploitables détectés dans la pièce jointe compressée |
Types de fichiers exploitables détectés dans la pièce jointe compressée (<nom_fichier>). |
|
En-tête du compte de l'expéditeur potentiellement modifié |
Le message électronique a été envoyé à partir d'un client de messagerie ou d'un prestataire de services (<agent_utilisateur>) qui autorise la modification de l'adresse ou du pseudo de l'expéditeur. |
|
Historique de conversation dans le corps du message électronique |
Le message électronique contient un historique de conversation entre (<compte_messagerie>) et (<compte_messagerie>). Ce message peut faire partie d'une attaque de type "attaque de l'homme du milieu". |
|
Message interne avec domaine "Répondre à" déguisé |
Le domaine Répondre à (<nom_domaine>) a été déguisé pour ressembler à des domaines d'expéditeur et de destinataire similaires (nom_domaine). Le message électronique peut avoir été déguisé pour apparaître comme un message interne. |
|
Message interne avec domaine "Répondre à" public |
Le domaine Répondre à (<nom_domaine>) appartient à un service de messagerie public mais les domaines de l'expéditeur et du destinataire sont identiques (<nom_domaine>). Le message électronique peut avoir été déguisé pour apparaître comme un message interne. |
|
Pseudo d'un cadre de l'entreprise avec adresse de domaine publique |
L'en-tête de l’expéditeur (<entête_expéditeur>) contient un pseudo qui s'avère être celui d'un cadre de l'entreprise et une adresse e-mail provenant d'un service de messagerie public. |
|
Compte "Répondre à" déguisé pour ressembler à un compte de l'expéditeur |
Le compte "Répondre à" (<compte_messagerie>) utilise un domaine différent mais des informations semblables au compte de l'expéditeur (<compte_messagerie>) pour déguiser le fait que les deux comptes sont de la même personne. |
|
Compte de l'expéditeur potentiellement associé à des attaques ciblées |
Le compte de l'expéditeur <compte_messagerie> a été associé à une ou plusieurs attaques ciblées ou a eu un comportement qui pourrait être celui d'attaques ciblées. |
|
Domaine de l'expéditeur déguisé pour ressembler au domaine du destinataire |
Le domaine de l’expéditeur (<nom_domaine>) est différent mais similaire au domaine de destinataire (<nom_domaine>). Le message électronique peut avoir été déguisé pour apparaître comme un message interne. |
|
Nom d'hôte de l'expéditeur potentiellement associé à des attaques ciblées |
Le nom d'hôte de l'expéditeur (<nom_hôte>) a été associé à une ou plusieurs attaques ciblées ou a eu un comportement qui pourrait être celui d'attaques ciblées. |
|
Adresse IP de l'expéditeur potentiellement associée à des attaques ciblées |
L'adresse IP de l'expéditeur (<adresse_IP>) a été associée à une ou plusieurs attaques ciblées ou a eu un comportement qui pourrait être celui d'attaques ciblées. |