1. Phishing
Phishing to próba wyłudzenia danych uwierzytelniających, finansowych lub innych informacji wrażliwych poprzez podszywanie się (np. w wiadomości e-mail) pod zaufane instytucje (banki, urzędy, partnerów). Najczęściej ofiara jest skłaniana do kliknięcia w złośliwy link lub otwarcia niebezpiecznego załącznika.
LOG 1 (Serwer pocztowy)
<134>Mar 10 08:32:15 mailgw postfix/smtpd[1023]: NOQUEUE: reject: RCPT from unknown[185.44.123.22]: 554 5.7.1 Phishing attempt detected; from=<[email protected]> to= [email protected]>
Kluczowy fragment:
"Phishing attempt detected; from=<[email protected]>"
Dowód, że filtr anty-phishingowy wyłapał próbę podszywania się pod instytucję finansową.
LOG 2 (System AV/EDR)
2024-03-10 08:33:10 EDR-Agent[20245]: [ALERT] Suspicious email attachment detected: Filename="INV_2024_03_10.exe" MD5="abc123def456xyz789" Classification="Malware.PhishingDropper"
Kluczowy fragment: Classification="Malware.PhishingDropper"
Załącznik sklasyfikowany jako złośliwe oprogramowanie używane w kampaniach phishingowych.
LOG 3 (SIEM – analiza treści maila)
<11>Mar 10 08:33:45 SIEM: event_id=47321 severity=high type=email subject="[Pilne] Twoje konto zostanie zablokowane!" url="http://login-verification.biz/fake" action=quarantine
Kluczowy fragment:
subject="[Pilne] Twoje konto zostanie zablokowane!" url="http://login-verification.biz/fake"
Socjotechnika (groźba blokady konta) i link do fałszywej strony.
WYKRYWANIE
Monitorowanie i filtrowanie poczty (system anty-spam, anty-phishing, sandbox).
Analiza nagłówków e-mail i reputacji domen.
Kampanie świadomości (user awareness) i testy phishingowe.
REAKCJA
Zgłoszenie podejrzanego maila do SOC/działu bezpieczeństwa.
Kwarantanna podejrzanej wiadomości w systemie pocztowym.
Blokada adresu IP/domeny w firewallu lub proxy, jeśli potwierdzono atak.
MITYGACJA
Wdrożenie MFA (uwierzytelnianie wieloskładnikowe).
Aktualizacja systemów bezpieczeństwa (AV, filtry pocztowe).
Regularne szkolenia użytkowników.
NAPRAWA I ZAPOBIEGANIE
Wdrożenie procedury zgłaszania phishingu (wewnętrzny przycisk „Report Phishing”).
Weryfikacja i usunięcie innych kopii złośliwych wiadomości w skrzynkach użytkowników.
Analiza incydentu w SIEM i dostosowanie reguł blokujących przyszłe próby.
2. SPEAR PHISHING
Spear phishing to wysoce ukierunkowana odmiana phishingu, w której atakujący przygotowuje wiadomość dopasowaną do konkretnej osoby (np. używając jej danych z mediów społecznościowych), co znacznie zwiększa skuteczność ataku.
LOG 1 (Serwer pocztowy – filtr antyfraud)
Mar 15 08:11:25 mailgw postfix/antifraud[3522]: Suspicious Request: "Urgent wire transfer" From="[email protected]" To="[email protected]" Trigger="whaling"
Kluczowy fragment: Trigger="whaling"
Filtr antyfraud rozpoznaje wzorzec „urgent wire transfer” i typ ataku whaling.
LOG 2 (EDR – analiza załącznika)
2024-03-15 08:11:30 EDR-Agent[2022]: Detected Trojan Downloader in "CEO-Invoice.pdf" Classification="Trojan.Whaling"
Classification="Trojan.Whaling"
Załącznik PDF zawiera złośliwe elementy celowane w kluczowe osoby (CFO).
Consectetur
Excepteur sint occaecat cupidatat non proident, sunt in culpa qui officia deserunt mollit anim id est laborum.