Bezoeken aan phishingsites [RULE-1158]
Deze regel detecteert wanneer een gebruiker een website bezoekt die bekend staat als kwaadaardig. Het is een belangrijk onderdeel van de beveiliging omdat het helpt bij het identificeren van gebruikers die mogelijk zijn getarget.
Rationale
Het bezoeken van phishingwebsites is een sterke indicator van cybercriminele activiteit en mogelijke blootstelling aan adversary-in-the-middle (AiTM) aanvallen. Dit gedragspatroon wordt vaak geassocieerd met campagnes voor het oogsten van inloggegevens en vertegenwoordigt een kritiek beveiligingsincident dat onmiddellijk onderzoek vereist om verdere compromittering te voorkomen.
Fix
Een geautomatiseerde fix is beschikbaar via Attic.
Handmatige stappen:
- Bekijk de klikdetails in het ticket
- Neem onmiddellijk contact op met de gebruiker om de context te begrijpen
- Controleer of de gebruiker inloggegevens heeft ingevoerd op de kwaadaardige site
- Als inloggegevens zijn ingevoerd, reset onmiddellijk het wachtwoord van de gebruiker en herroep alle sessies
- Controleer op andere verdachte activiteiten van dezelfde gebruiker
- Bekijk de recente e-mailactiviteit van de gebruiker op phishing-pogingen
- Overweeg het implementeren van extra beveiligingsmaatregelen voor het getroffen account
- Bied beveiligingsbewustzijnstraining aan de gebruiker
Impact
Het correct opvolgen van deze detectie helpt om verdere compromittering te voorkomen en de veiligheid van het getroffen account te waarborgen.