Техника на mitre.org

T1566.003: Целевой фишинг через сторонние сервисы

Злоумышленники могут отправлять целевые фишинговые сообщения через сторонние сервисы с целью получения доступа к целевым системам. Целевой фишинг через сторонние сервисы — это разновидность целевого фишинга. Он отличается от других разновидностей тем, что полагается на использование сторонних сервисов вместо отправки сообщений напрямую через корпоративную электронную почту.

Все формы целевого фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи и нацеленным на конкретного человека, компанию или отрасль. В этом сценарии злоумышленники отправляют сообщения через различные сервисы социальных сетей, личную веб-почту и другие службы, не контролируемые компанией. Эти сервисы, скорее всего, будут иметь менее строгую политику безопасности, чем корпоративные системы. Как и в большинстве видов целевого фишинга, злоумышленникам нужно установить контакт с жертвой или каким-либо образом привлечь ее внимание. Для этого они могут подготовить поддельные учетные записи в социальных сетях и разослать сотрудникам предложения о возможных вариантах трудоустройства. Так у них будет правдоподобная причина интересоваться сервисами, политиками и программным обеспечением, используемыми в среде организации. После этого злоумышленник может отправлять вредоносные ссылки или вложения через эти сервисы.

Типичный пример: злоумышленник налаживает контакт с жертвой через социальные сети, а затем отправляет вредоносные файлы на личную веб-почту, которую жертва использует на рабочем компьютере. Таким образом злоумышленник обходит ограничения рабочей электронной почты. Кроме того, жертва с большей вероятностью откроет файл, поскольку ожидает его. Если полезная нагрузка не сработает как надо, злоумышленник может продолжить общение с жертвой и попытаться устранить препятствия к выполнению вредоносного кода.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

remote_work: PT-CR-2552: Possible_Mail_Spoofing_Attack: Поддельное электронное письмо, в котором имя в SMTP-конверте не совпадает с именем в заголовке письма. Это может быть признаком атаки Email Spoofing

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на отправку целевых фишинговых сообщений электронной почты через сторонние сервисы с целью получения доступа к целевым системам.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на отправку целевых фишинговых сообщений электронной почты через сторонние сервисы с целью получения доступа к целевым системам.

Меры противодействия

ID	M1017	Название	Обучение пользователей	Описание	Пользователей можно научить распознавать техники социальной инженерии и целевые фишинговые письма с вредоносными ссылками.

ID	M1021	Название	Ограничения для веб-контента	Описание	Определите, необходимы ли для осуществления деловых операций определенные социальные сети, сервисы личной веб-почты или другие сервисы, которые могут использоваться для целевого фишинга, и рассмотрите возможность блокировки доступа, если активность невозможно должным образом отслеживать или если она представляет значительный риск.

ID	M1049	Название	Антивирус или ПО для защиты от вредоносных программ	Описание	Антивирус также может автоматически помещать подозрительные файлы в карантин.

ID	Название	Описание
M1017	Обучение пользователей	Пользователей можно научить распознавать техники социальной инженерии и целевые фишинговые письма с вредоносными ссылками.
M1021	Ограничения для веб-контента	Определите, необходимы ли для осуществления деловых операций определенные социальные сети, сервисы личной веб-почты или другие сервисы, которые могут использоваться для целевого фишинга, и рассмотрите возможность блокировки доступа, если активность невозможно должным образом отслеживать или если она представляет значительный риск.
M1049	Антивирус или ПО для защиты от вредоносных программ	Антивирус также может автоматически помещать подозрительные файлы в карантин.