Фишинг без ошибок: как вычислять письма, которые не палятся глазами

[aborouhin]

привычка думать. Проверяй домен, щупай ссылку, заглядывай в Message-ID — похож ли он по формату на внутренний? Насколько типичен relay? Почему письмо на русском, а DKIM подписан китайским провайдером?

Так и представил, как всё это вдумчиво проверяет бухгалтер Марья Ивановна :)

У меня в Thunderbird установлено расширение, которое подсвечивает заголовок в зависимости от статуса DKIM, - неплохо было бы, кстати, все другие перечисленные Вами критерии подозрительности в него добавить... но это в любом случае для технически грамотных пользователей, а мишенью атак обычно становятся отнюдь не они. Тут уже фильтрация на уровне почтового сервера нужна - но если закрутить гайки, замучаешься из спама ложные срабатывания восстанавливать, много легитимной почты, увы, идёт без DKIM и с кривыми заголовками.

А по тексту ещё вопрос, несколько раз упомянули вектор атаки через JS внутри PDF. А что, какие-то программы для просмотра PDF по умолчанию вот так просто позволяют JS запускать без грозного предупреждения?

[obscuratrace34]

Именно поэтому такие атаки и работают, письмо не выглядит как что-то, что нужно проверять.

Клиентские расширения и DKIM полезны, но это для технарей; в реальности всё решается серверной фильтрацией и компромиссами по false positive.

JS в PDF — рабочий вектор: он предусмотрен спецификацией и используется для редиректов и фишинговых форм без явных алертов.