T1656: Имперсонация
Злоумышленники могут выдавать себя за доверенных лиц или организации, чтобы обманом убедить цель выполнить какие-либо действия. Например, злоумышленники могут общаться с жертвами в рамках техник фишинга с целью сбора сведений, традиционного фишинга или внутреннего целевого фишинга, выдавая себя за известного отправителя, такого как руководитель, коллега или сторонний поставщик. Установленные доверительные отношения могут помочь в достижении конечных целей злоумышленника, возможно, затрагивающих сразу несколько жертв.
Во многих случаях компрометации корпоративной электронной почты или мошенничества с электронной почтой злоумышленник выдает себя за другое лицо, чтобы обманом вынудить жертву перевести денежные средства или раскрыть информацию, которая позволит украсть их.
Злоумышленники часто полагаются на методы социальной инженерии — например, на манипулятивные и настойчивые формулировки в темах электронных писем и основном тексте, такие как "платеж", "запрос" или "срочно", чтобы заставить жертву быстро отреагировать, прежде чем вредоносная активность будет обнаружена. Эти кампании часто направлены на людей, которые благодаря своим должностным обязанностям или доступу могут помочь злоумышленнику достичь поставленных целей.
Имперсонации обычно предшествуют такие методы разведки, как сбор информации об атакуемых пользователях и сбор бизнес-информации об атакуемой организации, а также приобретение инфраструктуры, например доменов электронной почты, для придания убедительности подставной личности.
Кампания на основе имперсонации может затрагивать широкий круг жертв. Например, злоумышленник может скомпрометировать учетные записи в одной организации, чтобы затем использовать их для имперсонации при атаке на другие организации.
Какие продукты Positive Technologies покрывают технику
Описание методов обнаружения техники пока недоступно
Способы обнаружения
ID | DS0015 | Источник и компонент данных | Журналы приложений: Содержимое журналов приложений | Описание | Отслеживайте признаки имперсонации в журналах электронной почты и мессенджеров, такие как подозрительные письма (например, от известных вредоносных или скомпрометированных учетных записей) и содержимое, указывающее на попытки злоумышленников достичь своих целей, — например, аномальные финансовые транзакции. |
---|
Меры противодействия
ID | M1017 | Название | Обучение пользователей | Описание | Информируйте пользователей о возможных попытках имперсонации и научите их противодействовать подобным атакам. Например, подтверждение входящего запроса через другие каналы связи (такие как телефонный звонок или личный разговор) помогут снизить риски. |
---|
ID | M1019 | Название | Программа исследования угроз (киберразведка) | Описание | Благодаря аналитике угроз защитники и пользователи знают о распространенных приманках и активных кампаниях, используемых для имперсонации, и могут от них защититься. |
---|