Algemeen
Attic detecteert met twee regels wanneer een medewerker op een link klikt naar een website die bekend staat als kwaadaardig én wanneer de medewerker de link daadwerkelijk bezoekt. Deze detecties zijn belangrijk omdat ze mogelijke blootstelling aan phishing-aanvallen aangeven en helpen bij het identificeren van gebruikers die mogelijk zijn getarget.
- RULE-1157 - Detecteert Kliks
- RULE-1158 - Detecteert Bezoeken
Het kan gebeuren dat beide alarmen afgaan voor 1 handeling van een medewerker. Maar er zijn ook scenario's waarbij alleen de 1 of de ander triggert, bijvoorbeeld als bepaalde functies niet ingeschakeld zijn.
Rationale
Klikken op phishinglinks zijn een sterke indicator van cybercriminele activiteit en mogelijke blootstelling aan adversary-in-the-middle (AiTM) aanvallen. Wanneer gebruikers op kwaadaardige links klikken, kunnen ze worden doorgestuurd naar nep-inlogpagina's die zijn ontworpen om inloggegevens en sessietokens te stelen. Dit gedragspatroon wordt vaak geassocieerd met campagnes voor het oogsten van inloggegevens en vertegenwoordigt een kritiek beveiligingsincident dat onmiddellijk onderzoek vereist om verdere compromittering te voorkomen.
Opvolging
Voer deze stappen uit om deze detectie adequaat op te volgen:
- Bekijk de klikdetails in het ticket
- Neem onmiddellijk contact op met de gebruiker om de context te begrijpen
- Controleer of de gebruiker inloggegevens heeft ingevoerd op de kwaadaardige site
- Als inloggegevens zijn ingevoerd, reset onmiddellijk het wachtwoord van de gebruiker en herroep alle sessies
- Controleer op andere verdachte activiteiten van dezelfde gebruiker
- Bekijk de recente e-mailactiviteit van de gebruiker op phishing-pogingen
- Overweeg het implementeren van extra beveiligingsmaatregelen voor het getroffen account
- Bied beveiligingsbewustzijnstraining aan de gebruiker
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.