Hosted Email Security fornisce informazioni dettagliate per i messaggi e-mail rilevati come potenziali attacchi di ingegneria sociale. Per visualizzare gli attacchi di ingegneria sociale, fare clic sul link Dettagli accanto a Attacco di ingegneria sociale nella schermata Dettagli della verifica posta.
Questi registri sono disponibili solo quando si ricevono e-mail del genere ed è selezionata l'opzione Attacco di ingegneria sociale mentre l'opzione Attiva analizzatore virtuale NON è selezionata (in Parametri di scansione del criterio attivo). Se sono selezionate entrambe le opzioni, si riceverà il report dell'analizzatore virtuale contenente informazioni complete, comprese informazioni sugli attacchi di ingegneria sociale.
Nella seguente tabella sono elencati i possibili motivi all'origine del rilevamento di attacchi di ingegneria sociale.
|
Caratteristiche messaggi e-mail |
Descrizione |
|---|---|
|
Nomi host del mittente incoerenti |
I nomi host sono incoerenti tra ID-messaggio (<dominio>) e Da (<dominio>). |
|
Percorso di indirizzamento e-mail interrotto |
Il percorso di indirizzamento e-mail è interrotto dall'hop (<indirizzo_IP>) all'hop (<indirizzo_IP>). |
|
Percorso di indirizzamento della posta contenente un server di posta con cattiva reputazione |
Il percorso di indirizzamento della posta contiene un server di posta con cattiva reputazione (<indirizzo_IP>). |
|
Intervallo di tempo significativo durante la trasmissione del messaggio e-mail |
Viene rilevato un intervallo di tempo significativo (<durata>) durante la trasmissione del messaggio e-mail tra hop (<origine> e <destinazione>) dall'ora (<data_ora>) all'ora (<data_ora>). |
|
Account dei destinatari incoerenti |
Il destinatario della busta (<indirizzo_e-mail>) non è coerente con il destinatario dell'intestazione (<indirizzo_e-mail>). |
|
Account mittente possibilmente falsificato o relay/inoltro inaspettato |
L'account probabilmente falsificato del mittente (<indirizzo_e-mail>) sta inviando messaggi e-mail tramite host o IP (<indirizzo_host>) con (<elenco_ASN>) non coerenti con gli ASN dei destinatari (<elenco_ASN>); in alternativa, potrebbe essersi verificato un relay/inoltro inaspettato nel server. |
|
Messaggio e-mail trasmesso tra più fusi orari |
Il messaggio e-mail viene trasmesso tra più fusi orari (<elenco_fusi_orari>). |
|
Possibile attacco di ingegneria sociale caratterizzato da set di caratteri sospetti nelle entità dei messaggi e-mail |
Sono stati identificati set di caratteri sospetti (<elenco_set_caratteri>) in un singolo messaggio e-mail; questo significa che il messaggio e-mail proviene da un'area geografica diversa da quella dell'utente. Tale comportamento è indice di un attacco di ingegneria sociale. |
|
Violazione delle intestazioni di ora |
In un messaggio esistono più intestazioni di ora (<data_ora>, <data_ora>); questa condizione viola la sezione 3.6 di RFC5322. |
|
Mittente possibilmente falsificato (Yahoo) |
Il messaggio e-mail ricevuto da Yahoo (<indirizzo_e-mail>) ha perso le intestazioni necessarie. |
|
File eseguibili con nomi di estensioni manomessi nell'allegato |
I file eseguibili nell'allegato compresso (<nome_file>) tentano di mascherarsi da file ordinari con nomi di estensioni manomesse. |
|
Relazioni anomale tra intestazioni di messaggi e-mail relativi a mittenti/destinatari |
Relazioni anomale tra intestazioni di messaggi e-mail relativi a mittenti/destinatari (<indirizzo_e-mail>). |
|
Tentativo di un allegato crittografato di ignorare i motori di scansione antivirus |
L'allegato crittografato (<nome_file>) con password (<password>) fornita nel contenuto del messaggio e-mail tenta probabilmente di ignorare i motori di scansione antivirus. |
|
Allegato del messaggio e-mail possibilmente sfruttabile |
L'allegato del messaggio e-mail (<nome_file>) potrebbe essere sfruttabile. |
|
Messaggio e-mail possibilmente inviato da un agente di posta autoscritto a causa dell'anomala codifica per il trasferimento del contenuto nelle entità dei messaggi e-mail |
La codifica per il trasferimento del contenuto (<tipo_codifica>) nel messaggio e-mail è anomala. Il messaggio e-mail potrebbe essere stato inviato da un agente di posta autoscritto. |
|
Messaggio e-mail con poche parole significative |
Il messaggio e-mail è poco significativo e contiene solo alcuni caratteri nel corpo del testo/HTML (<conteggio_caratteri>). |
|
Possibile spoofing dei messaggi e-mail |
Il messaggio e-mail è stato considerato come un messaggio inoltrato o di risposta con tag nell'oggetto (<oggetto_e-mail>), ma non contiene le rispettive intestazioni dei messaggi e-mail (RFC 5322). |
|
Messaggio e-mail trasmesso tra più ASN |
Il messaggio e-mail viene trasmesso tra più ASN (<elenco_ASN>). |
|
Messaggio e-mail trasmesso tra più paesi |
Il messaggio e-mail viene trasmesso tra più paesi (<elenco_codici_paesi>). |
|
Comportamento anomalo del tipo di contenuto nel messaggio e-mail |
Il tipo di contenuto nel messaggio e-mail non dovrebbe contenere attributi (<elenco_attributi>). |
|
File eseguibili archiviati nell'allegato compresso |
File eseguibili archiviati nell'allegato compresso (<nome_file>). |
|
Tipi di file sfruttabili rilevati nell'allegato compresso |
Vengono rilevati tipi di file sfruttabili nell'allegato compresso (<nome_file>). |
|
Intestazione account mittente potenzialmente modificata |
Il messaggio e-mail è stato inviato da un client e-mail o da un provider di servizi (<agente_utente>) che consente la modifica dell'indirizzo o del nome alternativo del mittente. |
|
Cronologia conversazioni nel corpo dell'e-mail |
Il messaggio e-mail include una cronologia delle conversazioni tra (<account_e-mail>) e (<account_e-mail>). Questo messaggio e-mail potrebbe fare parte di un attacco man-in-the-middle. |
|
Messaggio interno con un dominio di risposta alterato |
Il dominio di risposta (<nome_dominio>) è stato alterato in modo da assomigliare ai domini mittente e destinatario (nome_dominio). Il messaggio e-mail potrebbe essere stato alterato in modo da assomigliare a un messaggio interno. |
|
Messaggio interno con un dominio di risposta pubblico |
Il dominio di risposta (<nome_dominio>) appartiene a un servizio di messaggistica pubblico, ma i domini mittente e destinatario sono identici (<nome_dominio>). Il messaggio e-mail potrebbe essere stato alterato in modo da assomigliare a un messaggio interno. |
|
Nome alternativo dirigente aziendale con indirizzo di dominio pubblico |
L'intestazione del mittente (<intestazione_mittente>) contiene un nome alternativo che assomiglia a quello di un dirigente aziendale e un indirizzo e-mail proveniente da un servizio di messaggistica pubblico. |
|
Account di risposta alterato in modo da assomigliare all'account mittente |
L'account di risposta (<account_e-mail>) utilizza un dominio diverso ma informazioni simili all'account del mittente (<account_e-mail>) per alterare i due account in modo che sembrino provenire dallo stesso utente. |
|
Account mittente possibilmente associato ad attacchi mirati |
L'account del mittente (<account_e-mail>) è stato associato a uno o più attacchi mirati o ha mostrato un comportamento coerente con gli attacchi mirati. |
|
Dominio mittente alterato per assomigliare al dominio destinatario |
Il dominio del mittente (<nome_dominio>) è diverso ma simile al dominio destinatario (<nome_dominio>). Il messaggio e-mail potrebbe essere stato alterato in modo da assomigliare a un messaggio interno. |
|
Nome host mittente possibilmente associato ad attacchi mirati |
Il nome host del mittente (<nome_host>) è stato associato a uno o più attacchi mirati o ha mostrato un comportamento coerente con gli attacchi mirati. |
|
Indirizzo IP mittente possibilmente associato ad attacchi mirati |
L'indirizzo IP mittente (<indirizzo_IP>) è stato associato a uno o più attacchi mirati o ha mostrato un comportamento coerente con gli attacchi mirati. |