Техника на mitre.org

T1598: Фишинг с целью сбора сведений

Злоумышленники могут отправлять фишинговые сообщения, чтобы получить конфиденциальную информацию для своих атак. Фишинг с целью сбора сведений — это попытка обманом заставить жертву раскрыть информацию, такую как учетные или другие данные, полезные для организации атак. Фишинг с целью сбора сведений отличается от обычного фишинга тем, что его цель — собрать данные от жертвы, а не выполнить вредоносный код.

Все формы фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи. Фишинг, сосредоточенный на конкретных целях, называется целевым. При целевом фишинге злоумышленников интересуют определенный человек, компания или отрасль. Для охвата более широкого круга жертв злоумышленники организуют нецелевой фишинг, например массовые кампании по сбору учетных данных.

Злоумышленники могут также пытаться получить информацию напрямую через электронную почту, мессенджеры или другие электронные средства связи. Жертвы могут также получать фишинговые сообщения с просьбой позвонить по определенному номеру, чтобы злоумышленники могли выведать конфиденциальную информацию по телефону.

Фишинг с целью сбора сведений часто полагается на социальную инженерию, например злоумышленник выдает себя за источник, у которого есть причина запрашивать какую-либо информацию (см., например, техники Создание учетных записей и Компрометация учетных записей), и (или) отправляет множество сообщений, требующих срочного реагирования. Аналогичного эффекта можно добиться путем подделки или подмены личности отправителя, чтобы обмануть как получателя-человека, так и автоматизированные средства безопасности.

Фишинг с целью сбора сведений может также включать такие техники для предотвращения обнаружения, как манипулирование (включая удаление) электронными письмами или метаданными/заголовками из скомпрометированных учетных записей, с которых отправляются сообщения (например, с помощью техники Правила скрытия эл. почты).

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

Подтехники

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте журналы звонков на корпоративных устройствах, чтобы выявить потенциальные модели голосового фишинга, например звонки с известных вредоносных телефонных номеров или на такие номера.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов с целью выявления протоколов, которые не соответствуют ожидаемым стандартам этих протоколов и потокам трафика (например, посторонние пакеты, не относящиеся к установленным потокам, а также необычные шаблоны, синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте в сетевых данных необычные потоки данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте журналы звонков на корпоративных устройствах, чтобы выявить потенциальные модели голосового фишинга, например звонки с известных вредоносных телефонных номеров или на такие номера.

Меры противодействия

ID	M1017	Название	Обучение пользователей	Описание	Пользователей можно научить распознавать техники социальной инженерии и попытки целевого фишинга.

ID	M1054	Название	Изменение конфигурации ПО	Описание	Используйте механизмы аутентификации и защиты от спуфинга электронной почты для фильтрации сообщений на основе проверки достоверности домена отправителя (с помощью SPF) и целостности сообщений (с помощью DKIM). Включение этих механизмов в организации (с помощью таких политик, как DMARC) может позволить получателям (внутри организации и между доменами) выполнять аналогичную фильтрацию и проверку сообщений.

ID	Название	Описание
M1017	Обучение пользователей	Пользователей можно научить распознавать техники социальной инженерии и попытки целевого фишинга.
M1054	Изменение конфигурации ПО	Используйте механизмы аутентификации и защиты от спуфинга электронной почты для фильтрации сообщений на основе проверки достоверности домена отправителя (с помощью SPF) и целостности сообщений (с помощью DKIM). Включение этих механизмов в организации (с помощью таких политик, как DMARC) может позволить получателям (внутри организации и между доменами) выполнять аналогичную фильтрацию и проверку сообщений.