T1598.003: Целевой фишинг со ссылкой

Злоумышленники могут отправлять целевые фишинговые сообщения с вредоносной ссылкой, чтобы получить конфиденциальную информацию для своих атак. Целевой фишинг с целью сбора сведений — это попытка обманом заставить жертву раскрыть информацию, такую как учетные или другие данные, полезные для организации атак. Целевой фишинг с целью сбора сведений часто полагается на социальную инженерию, например злоумышленник выдает себя за источник, у которого есть причина запрашивать какую-либо информацию (см., например, техники Создание учетных записей и Компрометация учетных записей), и (или) отправляет множество сообщений, требующих срочного реагирования.

Все формы целевого фишинга относятся к методам социальной инженерии, реализуемым посредством электронной связи и нацеленным на конкретного человека, компанию или отрасль. В этом сценарии вредоносные письма содержат ссылки, обычно сопровождаемые текстом, который использует методы социальной инженерии, чтобы побудить пользователя щелкнуть по этим ссылкам или скопировать URL-адрес и вставить его в браузер. Открывающийся веб-сайт может быть точной или очень похожей копией легитимного сайта, например онлайн-портала или корпоративной страницы входа, при этом URL-адрес может содержать элементы адреса реального сайта. URL-адреса могут быть обфусцированы с помощью таких особенностей схемы URL-адресов, как принятие целочисленных или шестнадцатеричных форматов имен хостов и автоматическое игнорирование текста перед символом @, например: hxxp://google.com@1157586937.

Злоумышленники могут встраивать так называемые трекинговые пиксели", или веб-маяки в фишинговые сообщения, чтобы проверять получение писем, а также собирать и отслеживать информацию о жертве, такую как IP-адрес. Эти механизмы часто представляют собой небольшие изображения (обычно размером с пиксель) или другие замаскированные объекты, сопровождаемые HTML-кодом со ссылкой на удаленный сервер .

Также злоумышленники могут подделать веб-сайт целиком, используя атаку типа "браузер в браузере" (BitB). Создав поддельное всплывающее окно с генерируемой средствами HTML адресной строкой с легитимным URL (например, портала аутентификации), злоумышленники могут заставить пользователей ввести свои учетные данные, обходя при этом стандартные методы проверки URL.

Злоумышленники могут воспользоваться такими инструментариями для фишинга, как EvilProxy и evilginx2, чтобы проксировать соединение между жертвой и легитимным веб-сайтом (техника "Злоумышленник посередине"). При успешном входе в систему жертва перенаправляется на легитимный веб-сайт, а злоумышленник крадет сессионные куки вместе с именем пользователя и паролем. Это дает возможность обойти MFA с помощью сессионных куки.

Злоумышленники также могут отправлять вредоносные ссылки в виде QR-кодов ("квишинг"). Закодированные таким образом ссылки могут перенаправить жертву на фишинговую страницу для ввода учетных данных. QR-коды позволяют скрывать URL-адрес в электронных письмах, что затрудняет обнаружение таких ссылок большинством автоматических проверок безопасности. Пользователь может сканировать такие QR-коды своим мобильным устройством или получать их в фишинговых сообщениях напрямую, что создает дополнительные угрозы безопасности в ряде ключевых аспектов. Например, пользователи мобильных устройств могут не заметить незначительных различий между настоящими и поддельными сайтами для сбора учетных данных из-за маленького экрана.

На поддельном веб-сайте информация собирается через формы и отправляется злоумышленнику. Кроме того, злоумышленники могут применить сведения, добытые ранее (например, путем поиска на общедоступных сайтах или поиска на сайтах атакуемой организации) для создания убедительных и правдоподобных приманок.

Какие продукты Positive Technologies покрывают технику

Экспертиза MaxPatrol SIEM

vulnerabilities: PT-CR-2297: CVE_2024_21413_Outlook_MonikerLink: Эксплуатация уязвимости CVE-2024-21413 в Outlook. Уязвимость позволяет злоумышленнику отправить жертве письмо с гиперссылкой на общий сетевой ресурс и обойти предупреждение Outlook при открытии письма. Это может быть использовано, чтобы выполнить произвольный код или получить NetNTLM-хеш пользователя mitre_attck_initial_access: PT-CR-2415: External_Link_Clicked: Пользователь перешел по внешней ссылке antimalware: PT-CR-729: Subrule_Sandbox_Mail_Attachment: Событие PT Sandbox дополнено информацией о вложениях antimalware: PT-CR-728: Sandbox_Spam_Attack_By_Title: Обнаружена спам-рассылка с одинаковой темой письма antimalware: PT-CR-745: Subrule_Sandbox_Mail_IP: Событие PT Sandbox дополнено информацией об IP-адресах antimalware: PT-CR-1770: Subrule_Sandbox_Count_Mail_Attachments: Событие PT Sandbox дополнено информацией о количестве вложений antimalware: PT-CR-727: Sandbox_Spam_Attack_By_Source: Обнаружена спам-рассылка от одного и того же отправителя

Способы обнаружения

IDDS0029Источник и компонент данныхСетевой трафик: Содержимое сетевого трафикаОписание

Отслеживайте и анализируйте шаблоны трафика и содержимое пакетов, используя проверку SSL/TLS для зашифрованного трафика, чтобы выявлять признаки протоколов, которые не соответствуют ожидаемым стандартам протоколов и шаблонам потоков трафика (например, посторонние пакеты, не относящиеся к обычным потокам, трафик неизвестного происхождения, а также необычные синтаксис или структура трафика). По возможности проводите сопоставление с результатами мониторинга процессов и использованием командной строки с целью выявления необычного запуска процессов и необычных аргументов командной строки, связанных с шаблонами трафика (например, следует отслеживать необычное использование файлов, которые обычно не инициируют соединения по соответствующим протоколам).

Кроме того, отслеживайте в сетевом трафике адреса сайтов-омографов с интернационализированными доменными именами на базе различных наборов символов (например, кириллические и латинские варианты имен доверенных сайтов). Также отслеживайте и анализируйте шаблоны трафика и проверяйте пакеты на наличие признаков клонирования сайтов. Например, если злоумышленники используют HTTrack для клонирования веб-сайтов, в HTML-части пакетов может присутствовать строка Mirrored from (URL-адрес жертвы).

IDDS0015Источник и компонент данныхЖурналы приложений: Содержимое журналов приложенийОписание

Отслеживайте подозрительную активность, связанную с электронной почтой, например получение большим количеством пользователей сообщений от одного нетипичного или неизвестного отправителя. Фильтрация на основе проверки DNS-записей DKIM и SPF или заголовков позволяет обнаружить подмену отправителя сообщения электронной почты. Отслеживайте ссылки на сайты без категории или на известные вредоносные сайты. Проверка содержащихся в письме URL-адресов (в том числе декодирование коротких ссылок и выявление обфусцированных URL-адресов) также позволяет обнаружить ссылки, ведущие на известные вредоносные сайты.

Также отслеживайте журналы браузера на предмет использования омографов для ASCII и интернационализированных доменных имен, записанных символами из разных кодировок (например, имена доверенных сайтов, записанные кириллицей и латиницей).

IDDS0029Источник и компонент данныхСетевой трафик: Поток сетевого трафикаОписание

Отслеживайте необычные потоки сетевых данных. Процессы, которые взаимодействуют с сетью, хотя обычно этого не делают или вам незнакомы, следует считать подозрительными.

Меры противодействия

IDM1017НазваниеОбучение пользователейОписание

Пользователей можно научить распознавать техники социальной инженерии и попытки целевого фишинга. Кроме того, пользователи могут оценивать подозрительность доменов визуально. Однако ручную проверку могут затруднять похожие символы в доменных именах ASCII и IDN, а также обфускация URL-адресов. Если научить пользователей распознавать фишинг и применять другие меры информационной безопасности, они будут внимательнее проверять URL-адреса перед переходом на сайты.

IDM1054НазваниеИзменение конфигурации ПООписание

Используйте механизмы аутентификации и защиты от спуфинга электронной почты для фильтрации сообщений на основе проверки достоверности домена отправителя (с помощью SPF) и целостности сообщений (с помощью DKIM). Включение этих механизмов в организации (с помощью таких политик, как DMARC) может позволить получателям (внутрикорпоративным и междоменным) выполнять аналогичную фильтрацию и проверку сообщений.

Более того, политики могут контролировать наличие расширений браузера, которые защищают от атак с использованием омографов в IDN, или даже устанавливать эти расширения. Браузерные менеджеры паролей также могут быть настроены на заполнение полей учетных данных только в том случае, если URL-адрес совпадает с URL-адресом легитимного сайта.