Início / server / Perguntas / 1114248
Accepted
SenseiRalph
Asked: 2022-10-29 05:23:06 +0800 CST

Os links nos e-mails da empresa estão sendo clicados em IPs aleatórios

  • 772

Fazemos campanhas de phishing para nossos usuários com Lucy Security. Os e-mails incluem um link para uma página de destino. Quando clicado, as estatísticas são enviadas para nossa plataforma de phishing que incluem qual usuário clicou, quando e de qual IP.

Colocamos na lista branca o IP do servidor da Lucy Security em nosso anti-spam (Defender 365) para que a confiança de spam seja definida como -1, anexos e links não sejam verificados etc. Até agora, não recebemos muitos cliques de IPs da Microsoft.

O problema é que recebemos cliques de IPs pertencentes ao Google Fiber, Amazon, Verizon e um monte de outras empresas de telecomunicações nos EUA das quais nunca ouvi falar (estamos no Canadá). Todos esses IPs estão nos EUA. Como isso é possível?

O que eu sinto que deveria estar acontecendo é o seguinte:

  1. Lucy envia emails de seu servidor interno para nossas caixas de correio do Exchange (hospedado no Microsoft 365)
  2. Os e-mails fazem alguns saltos dentro da Microsoft
  3. Todas as medidas anti-spam que colocamos na lista de permissões são ignoradas
  4. Os e-mails são entregues em nossas caixas de correio

Isso é exatamente o que parece estar acontecendo ao olhar para os cabeçalhos dos e-mails de Lucy que recebi, e ainda assim recebemos cliques de algum ISP local nos EUA.

Par de notas:

  • Eu falsifico endereços ao fazer esses e-mails de phishing. O endereço falsificado é colocado no cabeçalho From, bem como no cabeçalho Return-Path. Eu recebo mais cliques indesejados ao falsificar um endereço de um domínio conhecido (por exemplo, protonmail.com) do que aleatório .
  • Não temos funcionários externos, ou seja, todos os nossos usuários estão por trás de nosso único IP público.

O que eu não estou conseguindo aqui? Como esses e-mails estão sendo clicados (pelo que parece ser anti-spams) em algum lugar dos EUA? Alguém tem uma ideia de onde começar a procurar para resolver isso? Deixe-me saber se você precisar de mais informações.

email microsoft-office-365

1 respostas

  1. Best Answer

    Seus usuários não seriam os primeiros a encaminhar cópias do e-mail de sua empresa para um endereço privado.

    (Por exemplo, para gerenciar/integrar mais facilmente seu calendário ao telefone, receber notificações fora de suas mesas, compartilhar seu calendário com membros da família e, claro, ler e-mails no aplicativo nativo em seu telefone.)

    O que acontece depois está obviamente além do seu controle.

    Os "cliques" que você registra podem facilmente ter origem em diversas fontes, tais como:

    • suas redes móveis de usuários
    • quaisquer pontos WiFi que seus usuários acessem em casa e em outros lugares
    • teste de ferramentas de segurança próprias ou de seu provedor (baseadas em nuvem) para ver se os links detectados precisam ser considerados maliciosos e devem ser bloqueados
    • de fato, cliques reais dos destinatários.

    Nesse sentido, por exemplo, estão as medidas de proteção de privacidade introduzidas pela Apple no macOS Monterey e iOS 15. Consulte https://support.apple.com/guide/mail/use-mail-privacy-protection-mlhl03be2866/mac ou https:/ /support.apple.com/guide/iphone/use-mail-privacy-protection-iphf084865c7/ios

    Esses funcionam entre outros usando uma rede de IPs atribuídos aleatoriamente para atuar como proxies ao (pré-)carregar (entre outras coisas) o conteúdo de e-mail.

    Isso explicaria facilmente por que você pode obter cliques nesses links de e-mail de endereços IP improváveis.

    Quais são os intervalos de IP dos proxies de proteção de privacidade da Apple?

    • 2

relate perguntas