Техника на mitre.org

T1566.003: Целевой фишинг через сторонние сервисы

Злоумышленники могут отправлять целевые фишинговые сообщения через сторонние сервисы с целью получения доступа к целевым системам. Целевой фишинг через сторонние сервисы — это разновидность целевого фишинга. Он отличается от других разновидностей тем, что полагается на использование сторонних сервисов вместо отправки сообщений напрямую через корпоративную электронную почту.

Все формы целевого фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи и нацеленным на конкретного человека, компанию или отрасль. В этом сценарии злоумышленники отправляют сообщения через различные сервисы социальных сетей, личную веб-почту и другие службы, не контролируемые компанией. Эти сервисы, скорее всего, будут иметь менее строгую политику безопасности, чем корпоративные системы. Как и в большинстве видов целевого фишинга, злоумышленникам нужно установить контакт с жертвой или каким-либо образом привлечь ее внимание. Для этого они могут подготовить поддельные учетные записи в социальных сетях и разослать сотрудникам предложения о возможных вариантах трудоустройства. Так у них будет правдоподобная причина интересоваться сервисами, политиками и программным обеспечением, используемыми в среде организации. После этого злоумышленник может отправлять вредоносные ссылки или вложения через эти сервисы.

Типичный пример: злоумышленник налаживает контакт с жертвой через социальные сети, а затем отправляет вредоносные файлы на личную веб-почту, которую жертва использует на рабочем компьютере. Таким образом злоумышленник обходит ограничения рабочей электронной почты. Кроме того, жертва с большей вероятностью откроет файл, поскольку ожидает его. Если полезная нагрузка не сработает как надо, злоумышленник может продолжить общение с жертвой и попытаться устранить препятствия к выполнению вредоносного кода.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

remote_work: PT-CR-2552: Possible_Mail_Spoofing_Attack: Поддельное электронное письмо, в котором имя в SMTP-конверте не совпадает с именем в заголовке письма. Это может быть признаком атаки Email Spoofing

Способы обнаружения

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на отправку целевых фишинговых сообщений электронной почты через сторонние сервисы с целью получения доступа к целевым системам.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	Источник и компонент данных	Описание
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы, сообщения и (или) другие артефакты, создаваемые сторонними приложениями, которые могут указывать на отправку целевых фишинговых сообщений электронной почты через сторонние сервисы с целью получения доступа к целевым системам.
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

ID	M1017	Название	Обучение пользователей	Описание	Пользователей можно научить распознавать техники социальной инженерии и целевые фишинговые письма с вредоносными ссылками.

ID	M1049	Название	Антивирус или ПО для защиты от вредоносных программ	Описание	Антивирус также может автоматически помещать подозрительные файлы в карантин.

ID	M1021	Название	Ограничения для веб-контента	Описание	Определите, необходимы ли для осуществления деловых операций определенные социальные сети, сервисы личной веб-почты или другие сервисы, которые могут использоваться для целевого фишинга, и рассмотрите возможность блокировки доступа, если активность невозможно должным образом отслеживать или если она представляет значительный риск.

ID	Название	Описание
M1017	Обучение пользователей	Пользователей можно научить распознавать техники социальной инженерии и целевые фишинговые письма с вредоносными ссылками.
M1049	Антивирус или ПО для защиты от вредоносных программ	Антивирус также может автоматически помещать подозрительные файлы в карантин.
M1021	Ограничения для веб-контента	Определите, необходимы ли для осуществления деловых операций определенные социальные сети, сервисы личной веб-почты или другие сервисы, которые могут использоваться для целевого фишинга, и рассмотрите возможность блокировки доступа, если активность невозможно должным образом отслеживать или если она представляет значительный риск.