| ID | Name |
|---|---|
| T1586.001 | Social Media Accounts |
| T1586.002 | Email Accounts |
Adversaries may compromise social media accounts that can be used during targeting. For operations incorporating social engineering, the utilization of an online persona may be important. Rather than creating and cultivating social media profiles (i.e. Social Media Accounts), adversaries may compromise existing social media accounts. Utilizing an existing persona may engender a level of trust in a potential victim if they have a relationship, or knowledge of, the compromised persona.
A variety of methods exist for compromising social media accounts, such as gathering credentials via Phishing for Information, purchasing credentials from third-party sites, or by brute forcing credentials (ex: password reuse from breach credential dumps).[1] Prior to compromising social media accounts, adversaries may conduct Reconnaissance to inform decisions about which accounts to compromise to further their operation.
Personas may exist on a single site or across multiple sites (ex: Facebook, LinkedIn, Twitter, etc.). Compromised social media accounts may require additional development, this could include filling out or modifying profile information, further developing social networks, or incorporating photos.
Adversaries can use a compromised social media profile to create new, or hijack existing, connections to targets of interest. These connections may be direct or may include trying to connect through others.[2][3] Compromised profiles may be leveraged during other phases of the adversary lifecycle, such as during Initial Access (ex: Spearphishing via Service).
Angreifer können Konten in den sozialen Medien kompromittieren, die bei Angriffen auf Zielpersonen verwendet werden können. Bei Operationen, die Social Engineering beinhalten, kann die Verwendung einer Online-Persona wichtig sein. Anstatt Social-Media-Profile (d.h. Social Media Accounts) zu erstellen und zu pflegen, können die Angreifer bestehende Social-Media-Konten kompromittieren. Die Verwendung einer bestehenden Persona kann bei einem potenziellen Opfer ein gewisses Mass an Vertrauen schaffen, wenn es eine Beziehung zu der kompromittierten Persona hat oder diese kennt.
Es gibt eine Vielzahl von Methoden zur Kompromittierung von Social-Media-Konten, z. B. das Sammeln von Zugangsdaten über Phishing for Information, den Kauf von Zugangsdaten von Drittanbieter-Websites oder das Erzwingen von Zugangsdaten (z. B. die Wiederverwendung von Passwörtern aus Datensammlungen).(Zitat: AnonHBGary) Vor der Kompromittierung von Social-Media-Konten können Angreifer Aufklärungsarbeit leisten, um zu entscheiden, welche Konten sie für ihre Operation kompromittieren wollen.
Personas können auf einer einzigen Website oder auf mehreren Websites existieren (z.B. Facebook, LinkedIn, Twitter, etc.). Kompromittierte Social-Media-Konten müssen möglicherweise weiterentwickelt werden, z. B. durch Ausfüllen oder Ändern von Profilinformationen, Weiterentwicklung sozialer Netzwerke oder Einfügen von Fotos.
Angreifer können ein kompromittiertes Social-Media-Profil nutzen, um neue Verbindungen zu interessanten Zielen herzustellen oder bestehende Verbindungen zu kapern. Diese Verbindungen können direkt oder über andere Personen hergestellt werden.(Zitat: NEWSCASTER2014)(Zitat: BlackHatRobinSage) Kompromittierte Profile können auch in anderen Phasen des Lebenszyklus des Angreifers genutzt werden, z.B. beim Erstzugang (z.B. Spearphishing via Service).
Les adversaires peuvent compromettre des comptes de médias sociaux qui peuvent être utilisés lors du ciblage. Pour les opérations intégrant l'ingénierie sociale, l'utilisation d'une persona en ligne peut être importante. Plutôt que de créer et de cultiver des profils de médias sociaux (c'est-à-dire [Social Media Accounts] (/techniques/T1585/001)), les adversaires peuvent compromettre des comptes de médias sociaux existants. L'utilisation d'un personnage existant peut engendrer un niveau de confiance chez une victime potentielle si elle a une relation ou une connaissance avec le personnage compromis.
Il existe une variété de méthodes pour compromettre des comptes de médias sociaux, comme la collecte d'informations d'identification par [Phishing for Information] (/techniques/T1598), l'achat d'informations d'identification sur des sites tiers ou le forçage brutal d'informations d'identification (ex : réutilisation de mots de passe à partir de vidages d'informations d'identification de brèches). (Citation : AnonHBGary) Avant de compromettre des comptes de médias sociaux, les adversaires peuvent effectuer une reconnaissance afin de décider quels comptes compromettre pour poursuivre leur opération.
Les personas peuvent exister sur un seul site ou sur plusieurs sites (ex : Facebook, LinkedIn, Twitter, etc.). Les comptes de médias sociaux compromis peuvent nécessiter un développement supplémentaire, ce qui peut inclure de remplir ou de modifier les informations du profil, de développer davantage les réseaux sociaux ou d'incorporer des photos.
Les adversaires peuvent utiliser un profil de médias sociaux compromis pour créer de nouvelles connexions, ou détourner des connexions existantes, avec des cibles d'intérêt. Ces connexions peuvent être directes ou inclure des tentatives de connexion par l'intermédiaire d'autres personnes. (Citation : NEWSCASTER2014) (Citation : BlackHatRobinSage) Les profils compromis peuvent être exploités pendant d'autres phases du cycle de vie des adversaires, comme lors de l'accès initial (ex : [Spearphishing via Service] (/techniques/T1566/003)).
Gli avversari possono compromettere account di social media che possono essere usati durante il targeting. Per operazioni che incorporano l'ingegneria sociale, l'utilizzo di un personaggio online può essere importante. Piuttosto che creare e coltivare profili di social media (cioè Social Media Accounts, gli avversari possono compromettere account di social media esistenti. L'utilizzo di una persona esistente può generare un livello di fiducia in una vittima potenziale se ha una relazione o una conoscenza della persona compromessa.
Esistono vari metodi per compromettere account di social media, come raccogliere credenziali tramite Phishing for Information, acquistare credenziali da siti terzi o forzare le credenziali (es: riutilizzo di password da dumps di credenziali di violazione).(Citazione: AnonHBGary) Prima di compromettere account di social media, gli avversari possono condurre una Ricognizione per informare le decisioni su quali account compromettere per portare avanti la loro operazione.
I personaggi possono esistere su un singolo sito o su più siti (es: Facebook, LinkedIn, Twitter, ecc.). Gli account di social media compromessi possono richiedere un ulteriore sviluppo, che potrebbe includere la compilazione o la modifica delle informazioni del profilo, l'ulteriore sviluppo delle reti sociali o l'incorporazione di foto.
Gli avversari possono usare un profilo di social media compromesso per creare nuove connessioni o dirottare quelle esistenti verso obiettivi di interesse. Queste connessioni possono essere dirette o possono includere il tentativo di connettersi attraverso altri.(Citazione: NEWSCASTER2014)(Citazione: BlackHatRobinSage) I profili compromessi possono essere sfruttati durante altre fasi del ciclo di vita dell'avversario, come durante l'accesso iniziale (ex: Spearphishing via Service.
| ID | Name | Description |
|---|---|---|
| G0065 | Leviathan |
Leviathan has compromised social media accounts to conduct social engineering attacks.[4] |
| ID | Mitigation | Description |
|---|---|---|
| M1056 | Pre-compromise |
This technique cannot be easily mitigated with preventive controls since it is based on behaviors performed outside of the scope of enterprise defenses and controls. |
| ID | Data Source | Data Component |
|---|---|---|
| DS0029 | Network Traffic | Network Traffic Content |
| DS0021 | Persona | Social Media |
Consider monitoring social media activity related to your organization. Suspicious activity may include personas claiming to work for your organization or recently modified accounts making numerous connection requests to accounts affiliated with your organization.
Detection efforts may be focused on related stages of the adversary lifecycle, such as during Initial Access (ex: Spearphishing via Service).
Ziehen Sie in Erwägung, die Aktivitäten in den sozialen Medien im Zusammenhang mit Ihrer Organisation zu überwachen. Zu den verdächtigen Aktivitäten können Personas gehören, die behaupten, für Ihr Unternehmen zu arbeiten, oder kürzlich geänderte Konten, die zahlreiche Verbindungsanfragen an Konten stellen, die mit Ihrem Unternehmen verbunden sind.
Die Entdeckungsbemühungen können sich auf die entsprechenden Phasen des Lebenszyklus des Angreifers konzentrieren, z.B. während des Erstzugriffs (z.B. Spearphishing via Service).
Pensez à surveiller l'activité des médias sociaux liée à votre organisation. Une activité suspecte peut inclure des personas prétendant travailler pour votre organisation ou des comptes récemment modifiés faisant de nombreuses demandes de connexion à des comptes affiliés à votre organisation.
Les efforts de détection peuvent se concentrer sur des étapes connexes du cycle de vie de l'adversaire, comme lors de l'accès initial (ex : Spearphishing via Service).
Prenda in considerazione il monitoraggio dell'attività dei social media relativa alla sua organizzazione. L'attività sospetta può includere persone che affermano di lavorare per la sua organizzazione o account modificati di recente che fanno numerose richieste di connessione ad account affiliati alla sua organizzazione.
Gli sforzi di rilevamento possono concentrarsi su fasi correlate del ciclo di vita dell'avversario, come durante l'accesso iniziale (ex: Spearphishing via Service.