Je možné použiť metódy OSINT-u pri podozrení, že sme dostali podvodný email?
Po krátkej letnej pauze sa vraciame v plnej sile s ďalším dielom seriálu „Nauč babičku ako rozpozná podvody na internete“. V predošlých dvoch článkoch („Vojakov“ na sociálnych sieťach zaujíma Vaša peňaženka, nie Vy, Neobmedzme sa pri overovaní identity používateľa len na Google) sme sa venovali použitiu metód OSINT-u pri overovaní identity používateľa, avšak tieto metódy môžeme použiť aj pri iných potenciálnych podvodoch.
Ako sme vo viacerých príspevkoch spomínali (Manipulatívne podvody, Phishing, ransomware, povedomie, Význam preventívneho pôsobenia na bežných používateľov z pohľadu incident handlera a ďalšie), útočníci na svoje podvody častokrát využívajú emailovú komunikáciu. Tu vyvstáva dôležitá otázka – vieme si overiť informácie z emailových správ pomocou metód OSINT-u?
Z dôvodu, že častokrát už emailová adresa odosielateľa nám môže napovedať, že sa jedná o podvodný email, sa v tomto článku zameriame na nástroje, ktoré nám dokážu pomôcť overiť práve emailové adresy odosielateľov a vynecháme analýzu samotného obsahu emailu. V závislosti od toho, ktorú emailovú službu využívate môže email vyzerať rôzne – dôležité je v ňom nájsť emailovú adresu odosielateľa.
Ako príklad si vezmime email, ktorý vidíme nižšie na obrázku 1, pričom sa zdá, že odosielateľ by mohol byť priamo Finančná správa. Emailová adresa odosielateľa je vyznačená červenou farbou:
Obrázok 1 Príklad podvodnej správy
Jednou zo známych platforiem poskytujúcich overovanie emailových adries je Hunter, ktorý nám dokáže zistiť či sa jedná o korektný formát emailovej adresy, aký je status danej emailovej adresy a ďalšie zaujímavé informácie. Môžeme si všimnúť, že pre náš vybraný email je síce formát korektný (Valid), no emailový status je neplatná (Invalid) a teda daná emailová adresa nedokáže prijímať žiadne správy (obrázok 2). To znamená, že účelom tohto emailu nie je samotná komunikácia s útočníkom, ale pravdepodobne kliknutie na odkaz a vyplnenie iných, citlivých údajov.
Obrázok 2 Ukážka výstupu z platformy Hunter
Ďalším nástrojom je Seon, ktorý nám vyrátava skóre pre konkrétne emailové adresy na základe istých algoritmov. Takisto nám poskytuje zoznam služieb alebo aplikácií, v ktorých existuje konto pod touto emailovou adresou a zoznam únikov údajov, ktorých je súčasťou. Pre emailovú adresu z vyššie uvedeného emailu dostávame výsledok 30 – riskantné (Risky), avšak žiadnu službu, kde by bola táto emailová adresa evidovaná (obrázok 3).
Obrázok 3 Ukážka výstupu z nástroja Seon
Poslednou spomenutou službou v tomto článku je Verifalia, ktorá nám poskytuje status a zároveň report validácie. Na obrázku 4 už na prvý pohľad vidieť, že naša emailová adresa je nedoručiteľná (Undeliverable). Ostatné parametre sú síce v poriadku, avšak ako sme spomínali vyššie, už to, že je nedoručiteľná, môže značiť, že sa jedná o podvod.
Obrázok 4 Ukážka výstupu zo služby Verifalia
Je potrebné poznamenať, že nástrojov na overovanie emailovej adresy existuje mnoho. My sme si ukázali tri často používané. Už len vďaka nim sme získali ako-takú predstavu o danej emailovej adrese a vieme z toho odvodiť záver, že táto emailová adresa vyzerá podozrivo.
Samozrejme pri analýze podvodných správ sa nestačí zameriavať len na emailovú adresu odosielateľa, pretože častokrát môžu byť podvrhnuté, respektíve pozmenené útočníkom. Veľmi dôležitá je analýza emailovej hlavičky a takisto obsahu emailu, jeho vizuálna stránka, prípadne analýza odkazov v ňom. Overovanie emailovej adresy odosielateľa nám však môže značne pomôcť pri odhaľovaní podvodov.
Vyjadrite váš názor v komentároch