Analyse EML et phishing
URL, pièces jointes et réponse
Analyse d’en-têtes, SPF/DKIM/DMARC, URL, pièces jointes et réponse à une campagne de phishing.
Extraction sûre
Ne clique pas directement. Extrais :
- URL visible et URL réelle ;
- redirections ;
- domaines ;
- IP ;
- noms et hashes des pièces jointes ;
- QR codes ;
- numéros de téléphone.
Pièces jointes
# Lister les parties MIME
munpack -t suspicious.eml
# Hash après extraction
sha256sum extracted/*
# Métadonnées
exiftool extracted/document.pdf
Analyse statique avant sandbox : type réel, macros, scripts, liens, archive imbriquée, signature numérique.
Confidentialité
N'envoie pas un document client ou interne sur un service public sans autorisation. Les hashes peuvent aussi révéler l'existence d'un fichier connu.
Réponse à une campagne
- identifier les destinataires ;
- rechercher Message-ID, expéditeur, sujet, URL et hash ;
- bloquer les indicateurs validés ;
- retirer/quarantainer les messages ;
- contacter les utilisateurs ayant interagi ;
- réinitialiser sessions/identifiants si nécessaire ;
- chercher la persistance et les connexions ;
- documenter l'étendue.
Rapport phishing
Verdict : phishing de collecte d'identifiants
Confiance : élevée
From visible : support@examp1e.ch
Reply-To : external mailbox
SPF/DKIM/DMARC : pass sur domaine ressemblant
URL finale : hxxps://...
Utilisateurs ciblés / clics / saisies : ...
Actions : purge, blocage, reset, recherche SIEM