雲端電子郵件閘道保護 提供有關被偵測為可能的社交工程攻擊的電子郵件訊息的詳細資訊。要查看社交工程攻擊的詳細資訊,請點選 Mail Tracking Details 畫面上 Social engineering attack 旁的 詳細資訊 連結。
下表列出了可能導致社交工程攻擊檢測的原因。
社交工程攻擊檢測的可能原因
|
電子郵件特徵
|
說明
|
|
發件者主機名稱不一致
|
Message-ID 主機名稱 (<host_name>) 與 From 主機名稱 (<host_name>) 不匹配。
|
|
郵件路由路徑中斷
|
從跳點 (<IP_address>) 到跳點 (<IP_address>) 的郵件路由路徑中斷。
|
|
郵件路由路徑包含聲譽不佳的郵件伺服器
|
郵件路由路徑包含具有不良聲譽的郵件伺服器(<IP_address>)。
|
|
電子郵件傳輸過程中存在顯著的時間間隔
|
在電子郵件訊息從 <source> 到 <destination> 的傳輸過程中,從 <date_time> 到 <date_time> 檢測到顯著的時間間隔 (<duration>)。
|
|
收件者帳戶不一致
|
信封收件人(<email_address>)與標頭收件人(<email_address>)不一致。
|
|
發件人 ASN 不一致或意外的中繼或轉發
|
發件者主機(<host_address>)所屬的 ASN(<ASN>)與發件者帳戶(<email_address>)的 ASN(<ASN>)不匹配。此訊息可能來自意外的伺服器端中繼或轉發。
|
|
電子郵件訊息穿越多個時區
|
電子郵件訊息穿越時區 (<time_zone_list>)。
|
|
可能的社會工程攻擊以電子郵件實體中的可疑字元集為特徵
|
可疑字元集(<character_set_list>)在單一電子郵件訊息中被識別,這意味著該電子郵件訊息來自外國地區。這種行為是社交工程攻擊的指標。
|
|
違規時間標頭
|
一則訊息中存在多個時間標頭(<date_time>, <date_time>),這違反了RFC5322第3.6節。
|
|
惡意用戶端 IP 位址
|
用戶端 IP 位址 (<IP_address>) 已與已知的惡意活動相關聯
|
|
可能偽造的發件人(Yahoo)
|
該電子郵件訊息聲稱來自 Yahoo (<email_address>),但遺失了必要的標頭。
|
|
附件中具有被篡改擴展名的可執行文件
|
壓縮附件中的檔案 (<file_name>) 可能是具有修改過副檔名的可執行檔案。
|
|
發件人/收件人相關電子郵件標頭之間的異常關係
|
發件人/收件人相關電子郵件標頭(<email_address>)之間的異常關係。
|
|
已加密的附件意圖繞過防毒掃瞄引擎
|
電子郵件內容中提供的已加密附件(<file_name>)和密碼(<password>)可能意圖繞過防毒掃瞄引擎。
|
|
可利用的附件
|
附件檔案(<file_name>)可能包含漏洞。
|
|
電子郵件訊息可能由自寫的郵件代理發送,因為電子郵件實體中的傳輸編碼異常
|
內容傳輸編碼(<encoding_type>)在電子郵件訊息中異常。該電子郵件訊息可能是由自寫的郵件代理發送的。
|
|
簡訊內容
|
電子郵件的正文或HTML文本很短。文本長度(正文/HTML文本分別為<character_count>個字符)可能表明電子郵件內容意義不大。
|
|
回覆或轉寄的電子郵件不包含相應的標頭
|
該電子郵件被標記為轉發或回覆的郵件,主題標籤為 (<email_subject>),但該電子郵件不包含相應的電子郵件標頭 (RFC 5322)。
|
|
電子郵件訊息穿越多個ASN
|
電子郵件訊息經過多個 ASN (<ASN_list>)。
|
|
電子郵件訊息穿越多個國家
|
電子郵件訊息會經過多個國家 (<country_code_list>)。
|
|
電子郵件訊息中的異常內容類型行為
|
電子郵件內容中的內容類型不應具有屬性(<attribute_list>)。
|
|
壓縮附件中的可執行檔
|
壓縮附件(<file_name>)包含可執行檔案。
|
|
在壓縮附件中檢測到可利用的檔案類型
|
壓縮附件(<file_name>)包含可利用的檔案類型。
|
|
不一致的主機域或意外的中繼或轉發
|
發件者主機(<host_address>)與發件者帳戶(<email_address>)屬於不同的網域。此訊息可能來自意外的伺服器端中繼或轉發。
|
|
電子郵件暱稱與電子郵件地址不一致
|
收件者帳戶使用的電子郵件暱稱(<nickname>)與其電子郵件地址(<email_address>)不一致。
|
|
寄件者帳戶與回覆帳戶不一致
|
發件人帳戶(<email_account>)與回覆帳戶(<email_account>)不一致。
|
|
發送者主機名稱可能與目標攻擊相關
|
發送者主機名稱(<host_name>)已與一個或多個定向攻擊相關聯,或執行了與定向攻擊一致的行為。
|
|
發送者 IP 位址可能與目標攻擊相關
|
發送者 IP 位址 (<ip_address>) 已與一個或多個定向攻擊相關聯,或執行了與定向攻擊一致的行為。
|
|
發件人帳戶可能與定向攻擊有關
|
發件人帳戶(<email_account>)已與一個或多個目標攻擊相關聯,或執行了與目標攻擊一致的行為。
|
|
寄件者帳戶標頭可能已被修改
|
該電子郵件訊息是由允許修改發件人地址或暱稱的電子郵件客戶端或服務提供商 (<user_agent>) 發送的。
|
|
內部電子郵件具有公共回覆域
|
回覆域名(<domain_name>)屬於公共訊息服務,但發件人和收件人域名相同(<domain_name>)。電子郵件訊息可能被偽裝成內部郵件。
|
|
內部電子郵件具有偽裝的回覆域名
|
回覆域名(<domain_name>)已被偽裝成類似於發件人和收件人域名(domain_name)。電子郵件訊息可能被偽裝成內部郵件。
|
|
回覆帳戶偽裝成類似於發件人帳戶
|
回覆帳戶(<email_account>)使用不同的網域,但與發件人帳戶(<email_account>)的資訊相似,以偽裝這兩個帳戶來自同一個人。
|
|
電子郵件正文中的對話歷史
|
此電子郵件訊息包含 (<email_account>) 和 (<email_account>) 之間的對話記錄。此電子郵件訊息可能是中間人攻擊的一部分。
|
|
具有公共域地址的公司高管暱稱
|
寄件者標頭 (<sender_header>) 包含看似公司高層的暱稱和來自公共訊息服務的電子郵件地址。
|
|
發件人域名偽裝成類似收件人域名
|
發件人域名(<domain_name>)與收件人域名(<domain_name>)不同但相似。電子郵件訊息可能被偽裝成內部郵件。
|
|
潛在欺騙性訊息標頭文字
|
因為 (<header_text>) 與 (<header_text>) 非常相似,此訊息似乎是為了欺騙收件人。
|
|
訊息包含可疑內容
|
訊息中的某些文字符合(<category_name>)類別的標準,表明可能有意圖欺騙收件人。
|
|
與可疑網域一起使用的受保護發件人名稱
|
該訊息使用名稱(<sender_name>)結合不熟悉的網域,顯然是企圖欺騙收件人。
|