T1608.005: Целевая ссылка
Злоумышленники могут размещать в сети ресурсы, на которые ведут ссылки, чтобы использовать их для атак. Для кражи информации (в том числе учетных данных) или запуска вредоносного кода злоумышленнику может быть необходимо, чтобы пользователь перешел по вредоносной ссылке. Ссылки могут использоваться для целевого фишинга — например, злоумышленник может отправить электронное письмо, использующее методы социальной инженерии, чтобы побудить пользователя щелкнуть ссылку или вставить URL-адрес в браузер. Перед фишингом с целью сбора сведений (например, целевым фишингом со ссылкой) или фишингом для получения первоначального доступа к системе (например, целевым фишингом со ссылкой) злоумышленник должен подготовить ресурсы, которые будут доступны при переходе по фишинговой ссылке.
Обычно при переходе по ссылке загружаются HTML-страницы, нередко с клиентскими сценариями, например на JavaScript, которые определяют, какое содержимое предоставлять пользователю. Злоумышленники могут клонировать легитимные сайты и показывать их при переходе по своей ссылке. В частности, для сбора учетных данных в рамках целевого фишинга со ссылкой могут использоваться копии страниц входа в легитимные веб-сервисы или на порталы организаций. Злоумышленники также могут разместить в сети вредоносное ПО и дать пользователю ссылку на него, чтобы он загрузил и запустил этот зловред.
Злоумышленники могут приобретать домены, похожие на легитимные (например, используя в адресах омоглифы, тайпсквоттинг или другие домены верхнего уровня), при подготовке инфраструктуры для техники Вредоносная ссылка.
Злоумышленники могут маскировать истинный адрес, на который ведет ссылка, манипулируя схемой URL-адресов, чтобы повысить вероятность обмана жертвы и эффективность фишинга.
Кроме того, атакующие могут задействовать бесплатные или платные учетные записи в сервисах сокращения ссылок и PaaS-сервисах для размещения целевых страниц своих ссылок. Доверенные домены этих сервисов помогают избежать блокировки при перенаправлении жертв на вредоносные страницы. Также злоумышленники могут генерировать много разных уникальных URI-/URL-адресов для своих вредоносных ссылок (в том числе одноразовых). Наконец, злоумышленники могут использовать децентрализованную сеть InterPlanetary File System (IPFS) для размещения целевых страниц, которые трудно удалить.
Способы обнаружения
| ID | DS0035 | Источник и компонент данных | Скан интернета: Содержимое ответа | Описание | Если ранее были выявлены инфраструктура или шаблоны вредоносного веб-содержимого, то интернет-сканирование может помочь выявить, когда злоумышленник подготовил это веб-содержимое для атаки. Многие действия злоумышленников происходят за пределами видимости атакуемой организации, что усложняет обнаружение. Усилия по обнаружению имеет смысл сосредоточить на других этапах деятельности злоумышленников, например использовании целевого фишинга со ссылкой, целевого фишинга со ссылкой или вредоносной ссылки. |
|---|
Меры противодействия
| ID | M1056 | Название | Предкомпрометация | Описание | От этой техники нельзя легко защититься с помощью превентивных мер контроля, поскольку она основана на поведении, осуществляемом вне рамок корпоративных средств защиты и контроля. |
|---|