Примеры обнаружения с помощью продуктов "Кода Безопасности":
Техники: T1598 , T1598.001 , T1598.002 , T1598.003 , T1598.004
Злоумышленники могут рассылать сообщения с вредоносной ссылкой для получения конфиденциальной информации, которая может быть использована в ходе таргетинга. Спирфишинг с целью получения информации - это попытка обманом заставить цель разгласить информацию, часто учетные данные или другую полезную информацию. При распространении информационных атак часто используются методы социальной инженерии, например выдача себя за источник, у которого есть причина для сбора информации (например, Establish Accounts или Compromise Accounts) и/или отправка нескольких, кажущихся срочными, сообщений.
Все формы spearphishing - это социальная инженерия, направленная на конкретного человека, компанию или отрасль. В этом сценарии вредоносные электронные письма содержат ссылки, обычно сопровождаемые социально-инженерным текстом, чтобы побудить пользователя активно нажать или скопировать и вставить URL в браузер.(Цитата: TrendMictro Phishing)(Цитата: PCMag FakeLogin) Данный сайт может быть клоном легитимного сайта (например, онлайн или корпоративного портала) или может сильно напоминать легитимный сайт по внешнему виду и иметь URL, содержащий элементы настоящего сайта. URL также могут быть обфусцированы, используя причуды схемы URL, такие как принятие целочисленных или шестнадцатеричных форматов имен хостов и автоматическое отбрасывание текста перед символом "@": например, `hxxp://google.com@1157586937`.(Цитата: Mandiant URL Obfuscation 2023)
Злоумышленники также могут внедрять "отслеживающие пиксели", "веб-жучки" или "веб-маяки" в фишинговые сообщения для проверки получения письма, а также для потенциального профилирования и отслеживания информации о жертве, например IP-адреса.(Цитата: NIST Web Bug) (Цитата: Ryte Wiki) Эти механизмы часто появляются в виде небольших изображений (обычно размером в один пиксель) или других обфусцированных объектов и обычно поставляются в виде HTML-кода, содержащего ссылку на удаленный сервер.(Цитата: Ryte Wiki)(Цитата: IAPP)
Злоумышленники также могут подделать целый веб-сайт, используя так называемую атаку "браузер в браузере" (BitB). Создавая поддельное всплывающее окно браузера с адресной строкой на основе HTML, которое, как кажется, содержит легитимный URL (например, портал аутентификации), они могут предложить пользователям ввести свои учетные данные в обход обычных методов проверки URL.(Цитата: ZScaler BitB 2020)(Цитата: Mr. D0x BitB 2022)
Злоумышленники могут использовать фишинговые наборы, такие как `EvilProxy` и `Evilginx2`, для осуществления фишинга "Злоумышленник посередине", проксируя соединение между жертвой и легитимным веб-сайтом. При успешном входе жертва перенаправляется на легитимный сайт, а злоумышленник перехватывает ее сессионный cookie (т. е. Steal Web Session Cookie) в дополнение к имени пользователя и паролю.Это может позволить злоумышленнику обойти MFA с помощью Web Session Cookie.(Цит. по: Proofpoint Human Factor)
Злоумышленники также могут отправлять вредоносные ссылки в виде кодов быстрого реагирования (QR) (также известных как "квишинг"). Эти ссылки могут направлять жертву на фишинговую страницу с учетными данными.(Цитата: QR-campaign-energy-firm) Используя QR-код, URL-адрес может не раскрываться в письме и, таким образом, оставаться незамеченным большинством автоматизированных систем защиты электронной почты.(Цитата: qr-phish-agriculture) Эти QR-коды могут сканироваться или доставляться непосредственно на мобильное устройство пользователя (т. е, Phishing), что может быть менее безопасно по нескольким причинам.(Цитата: qr-phish-agriculture) Например, пользователи мобильных устройств могут не заметить незначительных различий между подлинными и собирающими учетные данные веб-сайтами из-за меньшего форм-фактора мобильных устройств.
На поддельном сайте информация собирается в веб-формах и отправляется Злоумышленнику.создания убедительных и правдоподобных заманух злоумышленники могут также использовать информацию, полученную в ходе предыдущих разведывательных мероприятий (например, Search Open Websites/Domains или Search Victim-Owned Websites).
https://attack.mitre.org/techniques/T1598/003
Визуализация смежных техник для T1598.003
| № | Техника |
|---|
