一款内嵌到Outlook客户端的恶意邮件报告工具(附下载)
PhishReporter的使用
该内嵌工具是以在Outlook操作菜单上增加了一个新的按钮。用户可以在 Outlook邮件客户端上,将他们认为是钓鱼攻击的邮件或者是垃圾邮件一键进行转发操作,将之发送到公司安全人员处进行分析。主要界面如下图,
PhishReporter内嵌工具,带来的好处是通过联动用户,保存原始现场信息,而安全人员也能及时地对疑似的威胁进行分析判断,并进行处置,这无疑将大大增强安全事件的预防及响应处理能力。
PhishReporter解决的问题
通过PhishReporter的功能,能保存好重要的邮件头信息,以便安全人员能更好地进行解析,从而更好地作出判断。保存好邮件头信息是关键。很多时候,网络钓鱼事件已经发生了,但是要对用户收到的钓鱼邮件进行分析仍然存在一定的难度。
因为一般用户都是直接将疑似钓鱼邮件直接转发给公司的安全人员,这样一来,就破坏了原来的邮件头信息,从而会给分析工作带来一定的干扰。其实原来的网络钓鱼邮件头并没有丢失,它仍然存放在用户的电子邮件,但安全团队往往需要联系员工,教他如何正确地转发电子邮件,以便于能够进行分析。
关于邮件头信息的简单解析
下面的示例是一封从 MrJones@emailprovider.com 发往 MrSmith@gmail.com 的电子邮件的邮件标头:
Delivered-To: MrSmith@gmail.com Received: by 10.36.81.3 with SMTP id e3cs239nzb; Tue, 29 Mar 2005 15:11:47 -0800 (PST) Return-Path: Received: from mail.emailprovider.com (mail.emailprovider.com [111.111.11.111]) by mx.gmail.com with SMTP id h19si826631rnb.2005.03.29.15.11.46; Tue, 29 Mar 2005 15:11:47 -0800 (PST) Message-ID: <20050329231145.62086.mail@mail.emailprovider.com> Received: from [11.11.111.111] by mail.emailprovider.com via HTTP; Tue, 29 Mar 2005 15:11:45 PST Date: Tue, 29 Mar 2005 15:11:45 -0800 (PST) From: Mr Jones Subject: Hello To: Mr Smith
此例中,标头会三次添加到邮件中:
1、当 Jones 先生撰写电子邮件时 Date: Tue, 29 Mar 2005 15:11:45 -0800 (PST)
From: Mr Jones Subject: Hello To: Mr Smith
2、当电子邮件通过 Jones 先生的电子邮件提供商的服务器 mail.emailprovider.com 发送时 Message-ID:
<20050329231145.62086.mail@mail.emailprovider.com> Received: from [11.11.111.111] by mail.emailprovider.com via HTTP; Tue, 29 Mar 2005 15:11:45 PST
3、当邮件从 Jones 先生的电子邮件提供商传输到 Smith 先生的 Gmail 地址时 Delivered-To: MrSmith@gmail.com
Received: by 10.36.81.3 with SMTP id e3cs239nzb;Tue, 29 Mar 2005 15:11:47 -0800 (PST) Return-Path: MrJones@emailprovider.com Received: from mail.emailprovider.com (mail.emailprovider.com [111.111.11.111]) by mx.gmail.com with SMTP id h19si826631rnb; Tue, 29 Mar 2005 15:11:47 -0800 (PST)
结语
据统计,从1995年刚开始出现钓鱼攻击开始至今,很多钓鱼攻击之所以能成功,往往是通过邮件实施的。而据统计,从2014年至今的18个月内,对各大型企业进行调研,有大概50%的员工会点击钓鱼邮件的链接或者打开附件。所以保持与公司员工的及时沟通,从技术层面上建立反馈机制,是一个较好的响应方案。
PhishReporter只是其中一款内嵌工具,在这里也分享GitHub上另外一款更大“体量”的PhishReporter工具,可以再进行研究。
工具下载链接1:PhishReporter-Outlook-Add-In
工具下载链接2:PhishReporter
官方 