Техники: T1608 , T1608.001 , T1608.002 , T1608.003 , T1608.004 , T1608.005 , T1608.006
Злоумышленники могут размещать ресурсы, на которые ссылается ссылка и которые могут быть использованы при таргетинге. Злоумышленник может рассчитывать на то, что пользователь перейдет по вредоносной ссылке, чтобы разгласить информацию (включая учетные данные) или получить исполнение, как в Вредоносная ссылка. Ссылки могут использоваться для спирфишинга, например, для отправки электронного письма, сопровождаемого текстом социальной инженерии, чтобы склонить пользователя к активному щелчку или скопировать и вставить URL в браузер. Перед фишингом с целью получения информации (как в Spearphishing Link) или фишингом с целью получения первоначального доступа к системе (как в Spearphishing Link) Злоумышленник должен настроить ресурсы для ссылки-цели для фишинговой ссылки.
Как правило, ресурсами для целевой ссылки является HTML-страница, которая может включать некоторый сценарий на стороне клиента, например JavaScript, чтобы решить, какое содержимое предоставить пользователю. Злоумышленники могут клонировать легитимные сайты, чтобы использовать их в качестве целевой ссылки. Это может включать клонирование страниц входа в систему легитимных веб-сервисов или страниц входа в организацию в попытке собрать учетные данные во время Spearphishing Link.(Цитата: Malwarebytes Silent Librarian October 2020)(Цитата: Proofpoint TA407 September 2019) Злоумышленники также могут Upload Malware и указывать на целевую ссылку для загрузки/исполнения пользователем вредоносного ПО.
Злоумышленники могут приобретать домены, похожие на легитимные (например, гомоглифы, опечатки, другой домен верхнего уровня и т. д.), во время приобретения инфраструктуры (Домены), чтобы облегчить работу Вредоносной ссылки.
Ссылки могут быть написаны злоумышленниками для маскировки истинного адресата, чтобы обмануть жертву, злоупотребляя схемой URL и повышая эффективность фишинга.(Цитата: Kaspersky-masking)(Цитата: mandiant-masking)
Злоумышленники также могут использовать бесплатные или платные аккаунты на сервисах сокращения ссылок и провайдерах Platform-as-a-Service для размещения ссылок, пользуясь при этом широко доверенными доменами этих провайдеров, чтобы избежать блокировки и перенаправить жертву на вредоносные страницы.(Цитата: Netskope GCP Redirection)(Цитата: Netskope Cloud Phishing)(Цитата: Intezer App Service Phishing)(Цитата: Cofense-redirect) Кроме того, злоумышленники могут предоставлять различные вредоносные ссылки через уникальные URI/URL (в том числе одноразовые, однократного использования).(Цитата: iOS URL Scheme)(Цитата: URI)(Цитата: URI Use)(Цитата: URI Unique) Наконец, злоумышленники могут воспользоваться децентрализованной природой Межпланетной файловой системы (IPFS) для размещения ссылок, которые трудно удалить.(Цитата: Talos IPFS 2022)
https://attack.mitre.org/techniques/T1608/005
Визуализация смежных техник для T1608.005
| № | Техника |
|---|
