Phishing
Sub-techniques (3)
Adversaries may send phishing messages to gain access to victim systems. All forms of phishing are electronically delivered social engineering. Phishing can be targeted, known as spearphishing. In spearphishing, a specific individual, company, or industry will be targeted by the adversary. More generally, adversaries can conduct non-targeted phishing, such as in mass malware spam campaigns.
Adversaries may send victims emails containing malicious attachments or links, typically to execute malicious code on victim systems. Phishing may also be conducted via third-party services, like social media platforms. Phishing may also involve social engineering techniques, such as posing as a trusted source.
Angreifer können Phishing-Nachrichten versenden, um Zugang zu den Systemen der Opfer zu erhalten. Alle Formen des Phishings sind elektronisch übermittelte Social Engineering. Phishing kann gezielt erfolgen, was als Spearphishing bezeichnet wird. Beim Spearphishing hat es der Angreifer auf eine bestimmte Person, ein Unternehmen oder eine Branche abgesehen. Ganz allgemein können Angreifer auch nicht zielgerichtetes Phishing betreiben, wie z. B. bei Massen-Malware-Spam-Kampagnen.
Die Angreifer können den Opfern E-Mails mit bösartigen Anhängen oder Links schicken, um bösartigen Code auf den Systemen der Opfer auszuführen. Phishing kann auch über Dienste von Drittanbietern, wie z.B. Social Media-Plattformen, durchgeführt werden. Phishing kann auch Social-Engineering-Techniken beinhalten, wie z. B. das Ausgeben als vertrauenswürdige Quelle.
Les adversaires peuvent envoyer des messages de phishing pour accéder aux systèmes des victimes. Toutes les formes de phishing sont de l'ingénierie sociale délivrée par voie électronique. Le phishing peut être ciblé, ce que l'on appelle le spearphishing. Dans le cas du spearphishing, un individu, une entreprise ou une industrie spécifique sera ciblé par l'adversaire. Plus généralement, les adversaires peuvent procéder à un hameçonnage non ciblé, par exemple dans le cadre de campagnes massives de spam de logiciels malveillants.
Les adversaires peuvent envoyer aux victimes des e-mails contenant des pièces jointes ou des liens malveillants, généralement pour exécuter un code malveillant sur les systèmes des victimes. Le phishing peut également être mené via des services tiers, comme les plateformes de médias sociaux. Le phishing peut également impliquer des techniques d'ingénierie sociale, comme se faire passer pour une source de confiance.
Gli avversari possono inviare messaggi di phishing per ottenere l'accesso ai sistemi delle vittime. Tutte le forme di phishing sono ingegneria sociale trasmessa elettronicamente. Il phishing può essere mirato, noto come spearphishing. Nello spearphishing, un individuo, un'azienda o un settore specifico viene preso di mira dall'avversario. Più in generale, gli avversari possono condurre phishing non mirato, come nelle campagne di spam malware di massa.
Gli avversari possono inviare alle vittime email contenenti allegati o link malevoli, in genere per eseguire codice malevolo sui sistemi delle vittime. Il phishing può anche essere condotto tramite servizi di terzi, come le piattaforme di social media. Il phishing può anche implicare tecniche di ingegneria sociale, come fingersi una fonte fidata.
Law Assessment
Dass sich Angreifer von Konto zu Konto bewegen, gehört seit jeher zu den grundsätzlichsten Angriffstechniken. Die unzähligen Verknüpfungsmöglichkeiten von Konten zwischen verschiedenen Anbietern und die Benutzung von Passwortwiederherstellungsmöglichkeiten über Email ohne Zwei-Faktoren-Authentisierung (2FA) machen diesen Angriffsvektor zu einem akuten Problem.
Entweder verschafft sich der Täter selbst die Zugangsdaten zu einem Account oder er kauft diese Zugangsdaten ein. Benutzt jemand Zugangsdaten zu einem Account, der ihm nicht gehört, macht er sich nach Art. 143bis Abs. 1 StGB strafbar. Anderer Auffassung sind Germann/Wicki, die Hacking enger sehen wollen und der Ansicht sind, bei Hacking seien zwingend Veränderungen an einem System notwendig. Bewegt die Täterschaft sich dann von einem Account zum nächsten weiter, in dem sie im ersten Account die Zugangsdaten für den zweiten Account findet oder sich diese Zugangsdaten zustellen lässt und loggt sie sich damit ein, begeht sie erneut den Tatbestand des Hackings nach Art. 143bis StGB. Die Täterschaft überwindet ohne Befugnis eine besonders gegen ihren Zugriff geschützte Datenverarbeitungsanlage. Massgebend ist die Überwindung der jeweiligen Zutrittsschranke wie beispielsweise durch die Eingabe des richtigen Passworts.
Nicht relevant ist das allenfalls fehlende Interesse am eigentlichen Inhalt hinter der Zutrittsschranke, wenn der Täter z.B. zuerst in einen für ihn uninteressanten Account gelangt. Unabhängig davon, ob ihn der erste Account interessiert oder nicht, hackt er ihn.
Literatur- und Quellenhinweise
- Ammann Matthias, Sind Phishing-Mails strafbar?, in: Aktuelle Juristische Praxis (AJP), S. 195-203
- Stucki Daniel, Die Strafbarkeit von «Phishing» nach StGB, in: Jusletter 9. Januar 2012
- Weissenberger Philippe, in: Basler Kommentar, Strafrecht, 5. Aufl., 2019, Art. 143bis StGB, (zit. Weissenberger, 143bis, N 19)
Dass sich Angreifer von Konto zu Konto bewegen, gehört seit jeher zu den grundsätzlichsten Angriffstechniken. Die unzähligen Verknüpfungsmöglichkeiten von Konten zwischen verschiedenen Anbietern und die Benutzung von Passwortwiederherstellungsmöglichkeiten über Email ohne Zwei-Faktoren-Authentisierung (2FA) machen diesen Angriffsvektor zu einem akuten Problem.
Entweder verschafft sich der Täter selbst die Zugangsdaten zu einem Account oder er kauft diese Zugangsdaten ein. Benutzt jemand Zugangsdaten ...
Le fait que les attaquants se déplacent de compte en compte a toujours été l'une des techniques d'attaque les plus fondamentales. Les innombrables possibilités d'association de comptes entre différents fournisseurs et l'utilisation de possibilités de récupération de mot de passe par e-mail sans authentification à deux facteurs (2FA) font de ce vecteur d'attaque un problème aigu.
Soit l'auteur obtient lui-même les données d'accès à un compte, soit il achète ces données d'accès. Si quelqu'un utilise des données d'accès à un compte qui ne lui appartient pas, il est punissable en vertu de l'article 143bis al. 1 du Code pénal. Ce n'est pas l'avis de Germann/Wicki, qui veulent considérer le piratage informatique de manière plus étroite et estiment que le piratage informatique nécessite obligatoirement des modifications d'un système. Si l'auteur passe ensuite d'un compte à l'autre en trouvant dans le premier compte les données d'accès pour le deuxième compte ou en se faisant envoyer ces données d'accès et qu'il se connecte avec, il commet à nouveau l'infraction de piratage informatique au sens de l'article 143bis du Code pénal. L'auteur s'empare sans autorisation d'un système de traitement de données spécialement protégé contre son accès. Ce qui est déterminant, c'est le franchissement de la barrière d'accès correspondante, par exemple par la saisie du mot de passe correct.
L'absence d'intérêt pour le contenu réel derrière la barrière d'accès n'est pas pertinente, par exemple si l'auteur accède d'abord à un compte qui ne l'intéresse pas. Indépendamment du fait que le premier compte l'intéresse ou non, il le pirate.
Références bibliographiques et sources.
- Ammann Matthias, Les e-mails de phishing sont-ils punissables ?, dans : Pratique juridique actuelle (PJA), p. 195-203
- Stucki Daniel, La punissabilité du "phishing" selon le CP, dans : Jusletter 9 janvier 2012
- Weissenberger Philippe, in : Commentaire bâlois, droit pénal, 5e édition, 2019, art. 143bis CP, (cit. Weissenberger, 143bis, N 19)
Le fait que les attaquants se déplacent de compte en compte a toujours été l'une des techniques d'attaque les plus fondamentales. Les innombrables possibilités d'association de comptes entre différents fournisseurs et l'utilisation de possibilités de récupération de mot de passe par e-mail sans authentification à deux facteurs (2FA) font de ce vecteur d'attaque un problème ...
Che gli aggressori si spostino da un conto all'altro è sempre stata una delle tecniche di attacco più fondamentali. La miriade di modi in cui gli account possono essere collegati tra diversi provider e l'uso del recupero password via email senza autenticazione a due fattori (2FA) rendono questo vettore di attacco un problema acuto.
O l'esecutore ottiene lui stesso i dati di accesso ad un conto o acquista questi dati di accesso. Se qualcuno usa i dati di accesso ad un conto che non gli appartiene, è perseguibile ai sensi dell'art. 143to comma 1 SCC. Un punto di vista diverso è quello di , che vogliono vedere l'hacking in modo più ristretto e sono dell'opinione che l'hacking implichi necessariamente modifiche a un sistema. Se poi l'esecutore passa da un account all'altro trovando i dati di accesso per il secondo account nel primo account o facendosi inviare questi dati di accesso e accede con essi, commette nuovamente il reato di hacking secondo l'articolo 143bis SCC. L'esecutore supera un sistema di elaborazione dati appositamente protetto contro il suo accesso senza autorizzazione. Il fattore decisivo è superare la rispettiva barriera di accesso, per esempio inserendo la password corretta.
La mancanza di interesse per il contenuto effettivo dietro la barriera di accesso non è rilevante se, per esempio, l'autore entra prima in un account che non gli interessa. Indipendentemente dal fatto che il primo conto gli interessi o meno, lo hackera.
Riferimenti bibliografici e fonti.
- , Sind Phishing-Mails strafbar?, in: Aktuelle Juristische Praxis (AJP), pp. 195-203.
- , Die Strafbarkeit von "Phishing" nach StGB, in: Jusletter 9 gennaio 2012.
- , in: Basler Kommentar, Strafrecht, 5th ed., 2019, Art. 143bis StGB, (cit. , 143bis, N 19).
Che gli aggressori si spostino da un conto all'altro è sempre stata una delle tecniche di attacco più fondamentali. La miriade di modi in cui gli account possono essere collegati tra diversi provider e l'uso del recupero password via email senza autenticazione a due fattori (2FA) rendono questo vettore di attacco un problema acuto.
O ...
That attackers move from account to account has always been among the most fundamental attack techniques. The myriad ways accounts can be linked between different providers and the use of password recovery over email without two-factor authentication (2FA) make this attack vector an acute problem.
Either the perpetrator obtains account credentials themselves or purchases those credentials. If someone uses access data to an account that does not belong to him, he is liable to prosecution under Art. 143to para. 1 SCC. A different view is held by , who want to see hacking more narrowly and are of the opinion that hacking necessarily involves changes to a system. If the perpetrator then moves from one account to the next, in which he finds the access data for the second account in the first account or has this access data sent to him and logs in with it, he again commits the offence of hacking according to Art. 143bis SCC. The perpetrator overcomes a data processing system that is specially protected against his access without authorization. Decisive is the overcoming of the respective access barrier, such as by entering the correct password.
Not relevant is the possible lack of interest in the actual content behind the access barrier, if the perpetrator, for example, first gets into an account that is not interesting for him. Regardless of whether the first account interests him or not, he hacks it.
Literature and source references.
- , Sind Phishing-Mails strafbar?, in: Current Legal Practice (AJP), pp. 195-203.
- , Die Strafbarkeit von "Phishing" nach StGB, in: Jusletter 9. Januar 2012.
- , in: Basler Kommentar, Strafrecht, 5th ed., 2019, Art. 143bis StGB, (cit. , 143bis, N 19).
That attackers move from account to account has always been among the most fundamental attack techniques. The myriad ways accounts can be linked between different providers and the use of password recovery over email without two-factor authentication (2FA) make this attack vector an acute problem.
Either the perpetrator obtains account credentials themselves or purchases those ...
| Article | Assessment |
|---|---|
|
(Datenbeschaffung)
Contribution DetailsLast update: 2021-11-11 Autoren: Roman Kost ⓘ |
En principe, aucune donnée n'est supprimée lors d'une attaque de phishing. La détérioration de données prévue par l'article 144bis du Code pénal ne s'applique pas à cette technique d'attaque. In linea di principio, nessun dato viene cancellato durante un attacco di phishing. Il danno ai dati secondo l'art. 144bis CP non è rilevante per questa tecnica di attacco. In principle, no data is deleted during a phishing attack. The data damage according to Art. 144bis SCC is not relevant with this attack technique. Bei einer Phishingattacke werden grundsätzlich keine Daten gelöscht. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig. |
|
(Hacking)
Contribution DetailsLast update: 2021-11-13 Autoren: Roman Kost, Viola Kost ⓘ |
L'obtention de données d'accès par l'envoi d'e-mails trompeurs n'est pas punissable, que ce soit en vertu de l'article 143bis du Code pénal ou d'une autre norme pénale. Du point de vue du droit de la concurrence, une telle action de la part d'une entreprise devrait être analysée comme une infraction à la LCD. Ce n'est qu'en saisissant ces données d'accès frauduleuses et en pénétrant ensuite dans le DVA d'un tiers qu'il y aurait infraction. Si un logiciel d'accès (par ex. un VPN) est utilisé pour le phishing, cette variante est également constitutive de l'infraction dès que l'auteur s'est introduit par ce biais. Si la victime a l'intention d'exécuter le code, seule la porte d'accès est ouverte et la sécurité spéciale est donc contournée. Tant que le code ne fait qu'ouvrir l'accès en soi et ne transmet pas de données, l'infraction n'est pas consommée et seule la tentative d'infraction entre en ligne de compte. L'obtention de données d'accès par l'envoi d'e-mails trompeurs n'est pas punissable, que ce soit en vertu de l'article 143bis du Code pénal ou d'une autre norme pénale. Du point de vue du droit de la concurrence, une telle action de la part d'une entreprise devrait être analysée comme une infraction à la LCD. Ce n'est ... Ottenere dati di accesso inviando e-mail ingannevoli non è punibile; né ai sensi dell'Art. 143bis SCC né di qualsiasi altra norma penale. Sotto gli aspetti del diritto della concorrenza, tali azioni di un'azienda dovrebbero essere analizzate come una violazione dell'UWG. Solo inserendo questi dati di accesso ingannevoli e la successiva penetrazione del DVA straniero sarebbe un reato penale. Se per il phishing si usa un software che fornisce accesso (ad esempio una VPN), anche questa variante è un reato non appena l'esecutore è penetrato. Quando la vittima esegue intenzionalmente il codice, solo il cancello d'accesso viene aperto e quindi la sicurezza speciale viene aggirata. Finché il codice fornisce solo l'accesso e non trasmette dati, il reato non è completato e al massimo si considera il tentativo di commettere il reato. Ottenere dati di accesso inviando e-mail ingannevoli non è punibile; né ai sensi dell'Art. 143bis SCC né di qualsiasi altra norma penale. Sotto gli aspetti del diritto della concorrenza, tali azioni di un'azienda dovrebbero essere analizzate come una violazione dell'UWG. Solo inserendo questi dati di accesso ingannevoli e la successiva penetrazione del DVA straniero sarebbe ... Obtaining access data by sending deceptive e-mails is not punishable; neither according to Art. 143bis SCC nor any other criminal norm. Under competition law aspects, such actions of a company would have to be analyzed as a violation of the UWG. Only by entering these deceived access data and the subsequent intrusion into the foreign DVA would be criminal. If access-providing software (e.g., a VPN) is used in phishing, this variant is also a crime as soon as the perpetrator has penetrated via it. When the victim intentionally executes the code, only the access gate is opened and thus the special security is bypassed. As long as the code only provides access per se and does not transmit any data, the act is not completed and at most the attempted commission of the act comes into question. Obtaining access data by sending deceptive e-mails is not punishable; neither according to Art. 143bis SCC nor any other criminal norm. Under competition law aspects, such actions of a company would have to be analyzed as a violation of the UWG. Only by entering these deceived access data and the subsequent intrusion into the foreign ... Die Beschaffung von Zugangsdaten durch das Versenden von täuschenden E-Mails ist nicht strafbar; weder nach Art. 143bis StGB noch sonst einer Strafnorm. Unter wettbewerbsrechtlichen Aspekten wäre solches Tun eines Unternehmens als Verstoss gegen das UWG zu analysieren. Erst durch Eingabe dieser ertäuschten Zugangsdaten und dem nachfolgenden Eindringen in die fremde DVA wäre tatbestandsmässig. Wird beim Phishing eine zugangsverschaffende Software (z.B. ein VPN) verwendet, so ist diese Variante ebenfalls tatbestandsmässig, sobald der Täter darüber eingedrungen ist. Bei der beabsichtigten Ausführung des Codes durch das Opfer, ist lediglich das Zugangstor geöffnet und somit die besondere Sicherung umgangen. Solange der Code nur den Zugang an sich verschafft und keine Daten übermittelt, ist die Tat nicht vollendet und es kommt höchstens die versuchte Tatbegehung in Frage. Die Beschaffung von Zugangsdaten durch das Versenden von täuschenden E-Mails ist nicht strafbar; weder nach Art. 143bis StGB noch sonst einer Strafnorm. Unter wettbewerbsrechtlichen Aspekten wäre solches Tun eines Unternehmens als Verstoss gegen das UWG zu analysieren. Erst durch Eingabe dieser ertäuschten Zugangsdaten und dem nachfolgenden Eindringen in die fremde DVA wäre tatbestandsmässig. Wird beim ... |
|
(Datenbeschädigung)
Contribution DetailsLast update: 2021-11-13 Autoren: Roman Kost ⓘ |
En principe, aucune donnée n'est supprimée lors d'une attaque de phishing. La détérioration de données selon l'article 144bis du Code pénal n'est pas pertinente pour cette technique d'attaque. In linea di principio, nessun dato viene cancellato durante un attacco di phishing. Il danno ai dati secondo l'Art. 144bis SCC non è rilevante per questa tecnica di attacco. In principle, no data is deleted during a phishing attack. Data damage according to Art. 144bis StGB is not relevant for this attack technique. Bei einer Phishingattacke werden grundsätzlich keine Daten gelöscht. Die Datenbeschädigung nach Art. 144bis StGB ist bei dieser Angriffstechnik nicht einschlägig. |
Forensics
| Forensic Domain | Assessment |
|---|---|
|
Bei Phishingangriffen sind die Logfiles der Mail Transfer Agents sicherzustellen. Solche Logfiles gibt es auf dem Sender-Mailserver, auf dem weiterleitenden Mailserver sowie auf dem empfangenden Mailserver. Auf Privatheit bedachte Mailserverbetreiber konfigurieren ihre Logfacilities so, dass keine IP-Adressen und andere zur Attributierung brauchbare Informationen abgespeichert werden, die Logs werden vollständig deaktiviert oder nach einer gewissen Periode automatisch gelöscht. In solchen Fällen sind die Maildienstbetreiber durch die Strafverfolgungsbehörden mit präzisen Anweisungen dazu zu verpflichten, die entsprechenden Daten zu erheben. Sofern der Maildienst Mails im Klartext verschickt und empfängt, können neben den Metadaten (z.B. sämtliche technischen Kommunikationsparameter wie IP-Adressen, Agentstrings etc. pp.) auch die Inhalte der Mails aufgezeichnet werden. Wird die Verschlüsselung so konzipiert, dass nur die kommunizierenden Parteien entschlüsseln können, kann ein Dienstleister (zu mindest nach heutigem Erkenntnisstand) nicht in diese Kommunikation schauen und keine Inhalte sicherstellen. Bei Phishingangriffen sind die Logfiles der Mail Transfer Agents sicherzustellen. Solche Logfiles gibt es auf dem Sender-Mailserver, auf dem weiterleitenden Mailserver sowie auf dem empfangenden Mailserver. Auf Privatheit bedachte Mailserverbetreiber konfigurieren ihre Logfacilities so, dass keine IP-Adressen und andere zur Attributierung brauchbare Informationen abgespeichert werden, die Logs werden vollständig deaktiviert oder nach einer gewissen Periode automatisch gelöscht. In solchen Fällen ... Les fichiers journaux des agents de transfert de courrier doivent être sécurisés en cas d'attaques de phishing. Ces fichiers journaux sont disponibles sur le serveur de messagerie expéditeur, sur le serveur de messagerie de transfert et sur le serveur de messagerie destinataire. Les opérateurs de serveurs de messagerie soucieux de la confidentialité configurent leurs facilités de journalisation de manière à ce qu'aucune adresse IP ou autre information utile pour l'attribution ne soit stockée, les journaux sont complètement désactivés ou automatiquement supprimés après une certaine période. Dans de tels cas, les autorités chargées de l'application de la loi doivent donner des instructions précises aux opérateurs de services de messagerie pour qu'ils collectent les données en question. Dans la mesure où le service de messagerie envoie et reçoit des courriers en clair, il est possible d'enregistrer non seulement les métadonnées (par exemple tous les paramètres techniques de communication tels que les adresses IP, les chaînes d'agents, etc. pp. Si le cryptage est conçu de manière à ce que seules les parties qui communiquent puissent décrypter, un prestataire de services ne peut pas (du moins dans l'état actuel des connaissances) regarder ces communications ni en garantir le contenu. Les fichiers journaux des agents de transfert de courrier doivent être sécurisés en cas d'attaques de phishing. Ces fichiers journaux sont disponibles sur le serveur de messagerie expéditeur, sur le serveur de messagerie de transfert et sur le serveur de messagerie destinataire. Les opérateurs de serveurs de messagerie soucieux de la confidentialité configurent leurs facilités ... Nel caso di attacchi phishing, i file di registro degli agenti di trasferimento della posta devono essere protetti. Tali file di registro esistono sul server di posta mittente, sul server di posta inoltrata e sul server di posta ricevente. Gli operatori di server di posta attenti alla privacy configurano le loro strutture di log in modo tale che non vengano memorizzati indirizzi IP e altre informazioni utili per l'attribuzione, i log sono completamente disattivati o cancellati automaticamente dopo un certo periodo. In tali casi, gli operatori dei servizi postali devono essere richiesti dalle autorità di polizia con istruzioni precise per raccogliere i dati pertinenti. Se il servizio di posta invia e riceve mail in testo semplice, il contenuto delle mail può essere registrato oltre ai metadati (ad esempio tutti i parametri tecnici di comunicazione come indirizzi IP, stringhe di agenti, ecc. pp.). Se la crittografia è progettata in modo tale che solo le parti che comunicano possono decifrare, un fornitore di servizi non può (almeno secondo lo stato attuale delle conoscenze) guardare in questa comunicazione e mettere al sicuro qualsiasi contenuto. Nel caso di attacchi phishing, i file di registro degli agenti di trasferimento della posta devono essere protetti. Tali file di registro esistono sul server di posta mittente, sul server di posta inoltrata e sul server di posta ricevente. Gli operatori di server di posta attenti alla privacy configurano le loro strutture di log in ... In the case of phishing attacks, the log files of the mail transfer agents must be ensured. Such log files exist on the sender mail server, on the forwarding mail server, and on the receiving mail server. Privacy-conscious mail server operators configure their log facilities in such a way that no IP addresses and other information useful for attribution are stored, the logs are completely disabled or automatically deleted after a certain period. In such cases, the mail service operators are to be required by law enforcement agencies with precise instructions to collect the relevant data. If the mail service sends and receives mails in plain text, the contents of the mails can be recorded in addition to the metadata (e.g. all technical communication parameters such as IP addresses, agent strings, etc. pp.). If the encryption is designed in such a way that only the communicating parties can decrypt, a service provider (at least according to current knowledge) cannot look into this communication and secure any contents. . In the case of phishing attacks, the log files of the mail transfer agents must be ensured. Such log files exist on the sender mail server, on the forwarding mail server, and on the receiving mail server. Privacy-conscious mail server operators configure their log facilities in such a way that no IP addresses and other ... |
|
|
NIDS können zur Überwachung von Emailverkehr benutzt werden. Solche Systeme versuchen anhand von Algorithmen Phishingmails zu detektieren
There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.
Les NIDS peuvent être utilisés pour surveiller le trafic de messagerie. Ces systèmes tentent de détecter les e-mails de phishing à l'aide d'algorithmes. I NIDS possono essere usati per monitorare il traffico email. Tali sistemi cercano di rilevare le email di phishing per mezzo di algoritmi. NIDS can be used to monitor email traffic. Such systems try to detect phishing emails based on algorithms |
|
|
Es muss geprüft werden, ob die eingesetzten HIDS über Monitoringmechanismen für Mailverkehr verfügen.
There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.
Il convient de vérifier si les HIDS utilisés disposent de mécanismes de surveillance du trafic de messagerie. Bisogna controllare se gli HIDS utilizzati hanno meccanismi di monitoraggio del traffico di posta. It must be checked whether the HIDS used have monitoring mechanisms for mail traffic. |
|
|
Mail werden häufig in einem Dateisystem abgespeichert. Die konkreten Begebenheiten sind von Mailclient zu Mailclient unterschiedlich.
There exists an assessment but it was not translated or not approved for release. Please contact us about this assessment and provide a link to this assessment.
Le courrier est souvent stocké dans un système de fichiers. Les circonstances concrètes varient d'un client de messagerie à l'autre. La posta è spesso memorizzata in un file system. Le circostanze specifiche variano da client di posta a client di posta. Mail is often stored in a file system. The specific circumstances vary from mail client to mail client. |
Procedure Examples
| ID | Name | Description |
|---|---|---|
| G0035 | Dragonfly |
Dragonfly has used spearphising campaigns to gain access to victims.[1] |
| G0115 | GOLD SOUTHFIELD |
GOLD SOUTHFIELD has conducted malicious spam (malspam) campaigns to gain access to victim's machines.[2] |
Mitigations
| ID | Mitigation | Description |
|---|---|---|
| M1049 | Antivirus/Antimalware |
Anti-virus can automatically quarantine suspicious files. |
| M1031 | Network Intrusion Prevention |
Network intrusion prevention systems and systems designed to scan and remove malicious email attachments or links can be used to block activity. |
| M1021 | Restrict Web-Based Content |
Determine if certain websites or attachment types (ex: .scr, .exe, .pif, .cpl, etc.) that can be used for phishing are necessary for business operations and consider blocking access if activity cannot be monitored well or if it poses a significant risk. |
| M1054 | Software Configuration |
Use anti-spoofing and email authentication mechanisms to filter messages based on validity checks of the sender domain (using SPF) and integrity of messages (using DKIM). Enabling these mechanisms within an organization (through policies such as DMARC) may enable recipients (intra-org and cross domain) to perform similar message filtering and validation.[3][4] |
| M1017 | User Training |
Users can be trained to identify social engineering techniques and phishing emails. |
Detection
| ID | Data Source | Data Component |
|---|---|---|
| DS0015 | Application Log | Application Log Content |
| DS0022 | File | File Creation |
| DS0029 | Network Traffic | Network Traffic Content |
| Network Traffic Flow |
Network intrusion detection systems and email gateways can be used to detect phishing with malicious attachments in transit. Detonation chambers may also be used to identify malicious attachments. Solutions can be signature and behavior based, but adversaries may construct attachments in a way to avoid these systems.
Filtering based on DKIM+SPF or header analysis can help detect when the email sender is spoofed.[3][4]
URL inspection within email (including expanding shortened links) can help detect links leading to known malicious sites. Detonation chambers can be used to detect these links and either automatically go to these sites to determine if they're potentially malicious, or wait and capture the content if a user visits the link.
Because most common third-party services used for phishing via service leverage TLS encryption, SSL/TLS inspection is generally required to detect the initial communication/delivery. With SSL/TLS inspection intrusion detection signatures or other security gateway appliances may be able to detect malware.
Anti-virus can potentially detect malicious documents and files that are downloaded on the user's computer. Many possible detections of follow-on behavior may take place once User Execution occurs.
Netzwerk-Intrusion-Detection-Systeme und E-Mail-Gateways können eingesetzt werden, um Phishing mit bösartigen Anhängen während der Übertragung zu erkennen. Detonationskammern können ebenfalls eingesetzt werden, um bösartige Anhänge zu identifizieren. Die Lösungen können signatur- und verhaltensbasiert sein, aber die Angreifer können Anhänge so konstruieren, dass sie diese Systeme umgehen.
Filter, die auf DKIM+SPF oder einer Header-Analyse basieren, können dabei helfen, zu erkennen, wenn der E-Mail-Absender gefälscht ist.(Zitat: Microsoft Anti Spoofing)(Zitat: ACSC Email Spoofing)
Die Überprüfung von URLs in E-Mails (einschliesslich der Erweiterung verkürzter Links) kann dazu beitragen, Links aufzuspüren, die zu bekannten bösartigen Websites führen. Detonationskammern können verwendet werden, um diese Links zu erkennen und entweder automatisch zu diesen Websites zu gehen, um festzustellen, ob sie potenziell bösartig sind, oder zu warten und den Inhalt zu erfassen, wenn ein Benutzer den Link besucht.
Da die meisten Drittanbieter-Dienste, die für Phishing via Service verwendet werden, TLS-Verschlüsselung nutzen, ist in der Regel eine SSL/TLS-Prüfung erforderlich, um die erste Kommunikation/Zustellung zu erkennen. Mit der SSL/TLS-Prüfung können Intrusion Detection Signaturen oder andere Sicherheits-Gateway-Appliances Malware erkennen.
Antivirenprogramme können möglicherweise bösartige Dokumente und Dateien erkennen, die auf den Computer des Benutzers heruntergeladen werden. Viele mögliche Erkennungen von Folgeverhalten können stattfinden, sobald User Execution auftritt.
Les systèmes de détection d'intrusion dans le réseau et les passerelles de messagerie peuvent être utilisés pour détecter le phishing avec des pièces jointes malveillantes en transit. Des chambres de détonation peuvent également être utilisées pour identifier les pièces jointes malveillantes. Les solutions peuvent être basées sur les signatures et le comportement, mais les adversaires peuvent construire les pièces jointes de manière à éviter ces systèmes.
Le filtrage basé sur DKIM+SPF ou l'analyse des en-têtes peut aider à détecter lorsque l'expéditeur du courriel est usurpé.(Citation : Microsoft Anti Spoofing)(Citation : ACSC Email Spoofing)
L'inspection des URL dans les e-mails (y compris l'expansion des liens raccourcis) peut aider à détecter les liens menant à des sites malveillants connus. Les chambres de détonation peuvent être utilisées pour détecter ces liens et soit aller automatiquement sur ces sites pour déterminer s'ils sont potentiellement malveillants, soit attendre et capturer le contenu si un utilisateur visite le lien.
Étant donné que la plupart des services tiers couramment utilisés pour le phishing via le service exploitent le cryptage TLS, l'inspection SSL/TLS est généralement nécessaire pour détecter la communication/livraison initiale. Grâce à l'inspection SSL/TLS, les signatures de détection d'intrusion ou d'autres appareils de passerelle de sécurité peuvent être en mesure de détecter les logiciels malveillants.
L'antivirus peut potentiellement détecter les documents et fichiers malveillants qui sont téléchargés sur l'ordinateur de l'utilisateur. De nombreuses détections possibles du comportement de suivi peuvent avoir lieu une fois que [User Execution] (/techniques/T1204) se produit.
Si possono usare sistemi di rilevamento delle intrusioni di rete e gateway di posta elettronica per rilevare il phishing con allegati malevoli in transito. Anche le camere di detonazione possono essere utilizzate per identificare gli allegati malevoli. Le soluzioni possono essere basate sulla firma e sul comportamento, ma gli avversari possono costruire gli allegati in modo da evitare questi sistemi.
Il filtraggio basato su DKIM+SPF o sull'analisi dell'intestazione può aiutare a rilevare quando il mittente di email è spoofing.(Citazione: Microsoft Anti Spoofing)(Citazione: ACSC Email Spoofing)
L'ispezione degli URL all'interno dell'email (inclusa l'espansione dei link abbreviati) può aiutare a rilevare i link che portano a siti maligni conosciuti. Si possono usare camere di detonazione per rilevare questi link e andare automaticamente a questi siti per determinare se sono potenzialmente malevoli, oppure aspettare e catturare il contenuto se un utente visita il link.
Poiché la maggior parte dei comuni servizi di terzi usati per il phishing via servizio sfruttano la crittografia TLS, l'ispezione SSL/TLS è generalmente necessaria per rilevare la comunicazione/consegna iniziale. Con l'ispezione SSL/TLS le firme di rilevamento delle intrusioni o altri dispositivi di gateway di sicurezza possono essere in grado di rilevare il malware.
L'antivirus può potenzialmente rilevare documenti e file malevoli che vengono scaricati sul computer dell'utente. Molti possibili rilevamenti di comportamenti successivi possono avvenire una volta che si verifica User Execution.