T1566: Фишинг

Злоумышленники могут отправлять фишинговые сообщения с целью получения доступа к целевым системам. Все формы фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи. Фишинг, сосредоточенный на конкретных целях, называется целевым. При целевом фишинге злоумышленников интересуют определенный человек, компания или отрасль. Для охвата более широкого круга жертв злоумышленники организуют нецелевой фишинг, например массовые рассылки спама с вредоносным ПО.

Злоумышленники могут отправлять жертвам электронные письма с вредоносными вложениями или ссылками, чтобы запустить вредоносный код на целевых системах. Фишинг также может осуществляться через сторонние сервисы, например через социальные сети. Фишинг может также включать такие методы социальной инженерии, как имитация доверенного источника, а также техники для предотвращения обнаружения, такие как манипулирование (включая удаление) электронными письмами или метаданными/заголовками из скомпрометированных учетных записей, с которых отправляются сообщения (например, с помощью техники Правила скрытия эл. почты). Аналогичного эффекта можно добиться путем подделки или подмены личности отправителя, чтобы обмануть как получателя-человека, так и автоматизированные средства безопасности.

Жертвы также могут получать фишинговые сообщения с предложением позвонить по определенному номеру, где им предложат перейти на вредоносный URL-адрес, загрузить вредоносное ПО или установить на свой компьютер средства удаленного управления, предоставляющие доступ злоумышленнику (техника Выполнение с участием пользователя).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

postfix: PT-CR-2711: Postfix_Suspicious_Sender: Нетипичные символы в адресе отправителя. Это может быть признаком эксплуатации уязвимости CVE-2020-12063, позволяющей визуально подделать адрес другого отправителя и отправить сообщение без аутентификации antimalware: PT-CR-2082: KSMG_Massmail_Allowed: В письме обнаружена массовая рассылка antimalware: PT-CR-746: Sandbox_Different_Sender_Info: SMTP-заголовок "Mail from" и отправитель письма отличаются antimalware: PT-CR-2081: KSMG_SPAM_Detected: Обнаружена спам-рассылка

Подтехники

Способы обнаружения

IDDS0022Источник и компонент данныхФайл: Создание файлаОписание

Отслеживайте недавно созданные файлы, с помощью которых злоумышленники могут отправлять целевые фишинговые сообщения электронной почты с вредоносными вложениями с целью получения доступа к системам жертвы.

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на отправку целевых фишинговых сообщений электронной почты через сторонние сервисы с целью получения доступа к целевым системам.

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Пользователей можно научить распознавать техники социальной инженерии и целевые фишинговые письма.

IDM1021НазваниеОграничения для веб-контентаОписание

Заблокируйте по умолчанию неизвестные и неиспользуемые файлы, которые не следует передавать по электронной почте как вложения, с целью защиты от некоторых векторов атак (.scr, .exe, .pif, .cpl и т. д.). Некоторые устройства сканирования электронной почты могут открывать и анализировать файлы в сжатых и зашифрованных форматах (таких как zip и rar), которые могут использоваться для сокрытия вредоносных вложений.

IDM1031НазваниеПредотвращение сетевых вторженийОписание

Системы предотвращения сетевых вторжений и системы, предназначенные для сканирования и удаления вредоносных вложений электронной почты, можно использовать для блокировки активности.

IDM1047НазваниеАудитОписание

Проводите аудит или проверки безопасности систем, разрешений, ПО и конфигураций для выявления уязвимых мест.

IDM1049НазваниеАнтивирус или ПО для защиты от вредоносных программОписание

Антивирус также может автоматически помещать подозрительные файлы в карантин.

IDM1054НазваниеИзменение конфигурации ПООписание

Используйте механизмы аутентификации и защиты от спуфинга электронной почты для фильтрации сообщений на основе проверки достоверности домена отправителя (с помощью SPF) и целостности сообщений (с помощью DKIM). Включение этих механизмов в организации (с помощью таких политик, как DMARC) может позволить получателям (внутри организации и между доменами) выполнять аналогичную фильтрацию и проверку сообщений.