转载

PhishReporter:一款内嵌到Outlook客户端的恶意邮件报告工具(附下载)

美国密苏里州大学的安全研究员Josh Rickard近日开发了一个微软Outlook邮件客户端的内嵌钓鱼邮件报告工具PhishReporter,PhishReporter可以帮助用户将疑似诈骗邮件或者钓鱼邮件一键发送到预先设定的收件人邮箱(可以是公司的安全研究人员的或者事件响应小组),以便能最大限度地保存钓鱼邮件现场数据,从而使得安全人员可以更好地对疑似邮件进行分析,及时作出合理判断及处置。

PhishReporter的使用

该内嵌工具是以在Outlook操作菜单上增加了一个新的按钮。用户可以在 Outlook邮件客户端上,将他们认为是钓鱼攻击的邮件或者是垃圾邮件一键进行转发操作,将之发送到公司安全人员处进行分析。主要界面如下图,

PhishReporter:一款内嵌到Outlook客户端的恶意邮件报告工具(附下载)

PhishReporter:一款内嵌到Outlook客户端的恶意邮件报告工具(附下载)

PhishReporter:一款内嵌到Outlook客户端的恶意邮件报告工具(附下载)

PhishReporter内嵌工具,带来的好处是通过联动用户,保存原始现场信息,而安全人员也能及时地对疑似的威胁进行分析判断,并进行处置,这无疑将大大增强安全事件的预防及响应处理能力。

PhishReporter解决的问题

通过PhishReporter的功能,能保存好重要的邮件头信息,以便安全人员能更好地进行解析,从而更好地作出判断。保存好邮件头信息是关键。很多时候,网络钓鱼事件已经发生了,但是要对用户收到的钓鱼邮件进行分析仍然存在一定的难度。

因为一般用户都是直接将疑似钓鱼邮件直接转发给公司的安全人员,这样一来,就破坏了原来的邮件头信息,从而会给分析工作带来一定的干扰。其实原来的网络钓鱼邮件头并没有丢失,它仍然存放在用户的电子邮件,但安全团队往往需要联系员工,教他如何正确地转发电子邮件,以便于能够进行分析。

关于邮件头信息的简单解析

下面的示例是一封从 MrJones@emailprovider.com 发往 MrSmith@gmail.com 的电子邮件的邮件标头:

Delivered-To: MrSmith@gmail.com Received: by 10.36.81.3 with SMTP id e3cs239nzb; Tue, 29 Mar 2005 15:11:47 -0800 (PST) Return-Path: Received: from mail.emailprovider.com (mail.emailprovider.com [111.111.11.111]) by mx.gmail.com with SMTP id h19si826631rnb.2005.03.29.15.11.46; Tue, 29 Mar 2005 15:11:47 -0800 (PST) Message-ID: <20050329231145.62086.mail@mail.emailprovider.com> Received: from [11.11.111.111] by mail.emailprovider.com via HTTP; Tue, 29 Mar 2005 15:11:45 PST Date: Tue, 29 Mar 2005 15:11:45 -0800 (PST) From: Mr Jones Subject: Hello To: Mr Smith

此例中,标头会三次添加到邮件中:

1、当 Jones 先生撰写电子邮件时 Date: Tue, 29 Mar 2005 15:11:45 -0800 (PST)

From: Mr Jones Subject: Hello To: Mr Smith

2、当电子邮件通过 Jones 先生的电子邮件提供商的服务器 mail.emailprovider.com 发送时 Message-ID:

<20050329231145.62086.mail@mail.emailprovider.com> Received: from [11.11.111.111] by mail.emailprovider.com via HTTP; Tue, 29 Mar 2005 15:11:45 PST

3、当邮件从 Jones 先生的电子邮件提供商传输到 Smith 先生的 Gmail 地址时 Delivered-To: MrSmith@gmail.com

Received: by 10.36.81.3 with SMTP id e3cs239nzb;Tue, 29 Mar 2005 15:11:47 -0800 (PST) Return-Path: MrJones@emailprovider.com Received: from mail.emailprovider.com (mail.emailprovider.com [111.111.11.111]) by mx.gmail.com with SMTP id h19si826631rnb; Tue, 29 Mar 2005 15:11:47 -0800 (PST)

结语

据统计,从1995年刚开始出现钓鱼攻击开始至今,很多钓鱼攻击之所以能成功,往往是通过邮件实施的。而据统计,从2014年至今的18个月内,对各大型企业进行调研,有大概50%的员工会点击钓鱼邮件的链接或者打开附件。所以保持与公司员工的及时沟通,从技术层面上建立反馈机制,是一个较好的响应方案。

PhishReporter只是其中一款内嵌工具,在这里也分享GitHub上另外一款更大“体量”的PhishReporter工具,可以再进行研究。

工具下载链接1: PhishReporter-Outlook-Add-In

工具下载链接2: PhishReporter

*参考来源: GitHub   phishreporter ,FB小编troy编译,转载请注明来自FreeBuf关注黑客与极客(FreeBuf.COM)

正文到此结束
所属分类: 编程技术

热门推荐

相关文章

阿里云首购8折
说给你听

本文目录
随机标签
书籍教程
Java入门教程 bootstrap3 CSS Apache基础教程 springboot-demo php ionic 教程 Python mysql教程 eclipse Ubuntu VPS系统配置 AngularJS 教程 Struts2教程 MongoDB教程 Redis教程 Spring教程 Git教程 Jenkins进阶系列 openfire参考指南 Java设计模式 HBase教程 Maven教程 hibernate教程 Docker 教程 memcached教程 Quartz指南 SpringCloud ANTLR教程 Hive教程 java实例教程 Ant教程 Hazelcast教程 Elastic-Job-Lite XStream教程 深入浅出MyBatis SVN教程 ibaties教程 rabittmq教程 WebService CXF学习 Hadoop教程 solr教程 JPA教程 ActiveMQ中文指南 Java内存模型 dubbo教程 Linux入门视频教程
近期评论
  1. 1 能用365块大洋去解决的事,千万不要用时间
  2. 2 Spring Boot集成atomikos快速入门Demo
  3. 3 Spring Boot集成fastdfs快速入门Demo
  4. 4 Spring Boot集成Https快速入门Demo
  5. 5 Spring Boot集成easypoi快速入门Demo
  6. 6 Spring Boot集成webflux快速入门Demo
  7. 7 Spring Boot集成Graphql快速入门Demo
  8. 8 Spring Boot API 多版本快速入门Demo
  9. 9 Spring Boot内容协商快速入门Demo
  10. 10 Spring Boot集成Debezium实现postgres增量同步
网站信息
  • 文章总数:155,458 篇
  • 文件总数:468,738 个
  • 标签总数:2,264 个
  • 分类总数:90 个
  • 留言数量:2,538 条
  • 在线人数:698 人
  • 运行天数:4,192天
  • 最后更新:2024年04月19日04点
Loading...

其他链接

关于本站

本站定位:个人技术类博客

本站作用:写博客、记日志、闲聊扯淡鼓捣技术。

问题交流

[HBLOG]公众号 HBLOG HBLOG