Техника на mitre.org

T1598.001: Целевой фишинг через сторонние сервисы

Злоумышленники могут отправлять целевые фишинговые сообщения через сторонние службы, чтобы получить конфиденциальную информацию для своих атак. Целевой фишинг с целью сбора сведений — это попытка обманом заставить жертву раскрыть информацию, такую как учетные или другие данные, полезные для организации атак. Целевой фишинг с целью сбора сведений часто полагается на социальную инженерию, например злоумышленник выдает себя за источник, у которого есть причина запрашивать какую-либо информацию (см., например, техники Создание учетных записей и Компрометация учетных записей), и (или) отправляет множество сообщений, требующих срочного реагирования.

Все формы целевого фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи и нацеленным на конкретного человека, компанию или отрасль. В этом сценарии злоумышленники отправляют сообщения через различные сервисы социальных сетей, личную веб-почту и другие службы, не контролируемые компанией. Эти сервисы, скорее всего, будут иметь менее строгую политику безопасности, чем корпоративные системы. Как и в большинстве видов целевого фишинга, злоумышленникам нужно установить контакт с жертвой или каким-либо образом привлечь ее внимание. Для этого они могут подготовить поддельные учетные записи в социальных сетях и разослать сотрудникам предложения о возможных вариантах трудоустройства. Так у них будет правдоподобная причина интересоваться сервисами, политиками и особенностями среды организации. Кроме того, злоумышленники могут применить сведения, добытые ранее (например, в социальных сетях или путем поиска на сайтах атакуемой организации) для создания убедительных и правдоподобных приманок.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

remote_work: PT-CR-2552: Possible_Mail_Spoofing_Attack: Поддельное электронное письмо, в котором имя в SMTP-конверте не совпадает с именем в заголовке письма. Это может быть признаком атаки Email Spoofing antimalware: PT-CR-746: Sandbox_Different_Sender_Info: SMTP-заголовок "Mail from" и отправитель письма отличаются

Способы обнаружения

ID	DS0029	Источник и компонент данных	Сетевой трафик: Содержимое сетевого трафика	Описание	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

ID	DS0015	Источник и компонент данных	Журналы приложений: Содержимое журналов приложений	Описание	Отслеживайте трафик социальных сетей на предмет подозрительной активности, включая сообщения, запрашивающие информацию, а также аномальную передачу файлов и данных (особенно с участием подозрительных, в том числе неизвестных, учетных записей). Такие действия могут выполняться часто, генерируя большой объем ложных срабатываний, либо за пределами видимости организации, что усложняет их обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников, например на попытках получения первоначального доступа.

ID	DS0029	Источник и компонент данных	Сетевой трафик: Поток сетевого трафика	Описание	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

ID	Источник и компонент данных	Описание
DS0029	Сетевой трафик: Содержимое сетевого трафика	Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).
DS0015	Журналы приложений: Содержимое журналов приложений	Отслеживайте трафик социальных сетей на предмет подозрительной активности, включая сообщения, запрашивающие информацию, а также аномальную передачу файлов и данных (особенно с участием подозрительных, в том числе неизвестных, учетных записей). Такие действия могут выполняться часто, генерируя большой объем ложных срабатываний, либо за пределами видимости организации, что усложняет их обнаружение. Усилия по обнаружению имеет смысл сосредоточить на соответствующих этапах деятельности злоумышленников, например на попытках получения первоначального доступа.
DS0029	Сетевой трафик: Поток сетевого трафика	Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

ID	M1017	Название	Обучение пользователей	Описание	Пользователей можно научить распознавать техники социальной инженерии и попытки целевого фишинга.

ID	Название	Описание
M1017	Обучение пользователей	Пользователей можно научить распознавать техники социальной инженерии и попытки целевого фишинга.