Klik op phishinglink [RULE-1157]
Attic detecteert wanneer een medewerker op een link klikt naar een website die bekend staat als kwaadaardig én wanneer de medewerker de link daadwerkelijk bezoekt. Deze detecties zijn belangrijk omdat ze mogelijke blootstelling aan phishing-aanvallen aangeven en helpen bij het identificeren van gebruikers die mogelijk zijn getarget.
Rationale
Klikken op phishinglinks zijn een sterke indicator van cybercriminele activiteit en mogelijke blootstelling aan adversary-in-the-middle (AiTM) aanvallen. Wanneer gebruikers op kwaadaardige links klikken, kunnen ze worden doorgestuurd naar nep-inlogpagina's die zijn ontworpen om inloggegevens en sessietokens te stelen. Dit gedragspatroon wordt vaak geassocieerd met campagnes voor het oogsten van inloggegevens en vertegenwoordigt een kritiek beveiligingsincident dat onmiddellijk onderzoek vereist om verdere compromittering te voorkomen.
Fix
Een geautomatiseerde fix is beschikbaar via Attic.
Handmatige stappen:
- Bekijk de klikdetails in het ticket
- Neem onmiddellijk contact op met de gebruiker om de context te begrijpen
- Controleer of de gebruiker inloggegevens heeft ingevoerd op de kwaadaardige site
- Als inloggegevens zijn ingevoerd, reset onmiddellijk het wachtwoord van de gebruiker en herroep alle sessies
- Controleer op andere verdachte activiteiten van dezelfde gebruiker
- Bekijk de recente e-mailactiviteit van de gebruiker op phishing-pogingen
- Overweeg het implementeren van extra beveiligingsmaatregelen voor het getroffen account
- Bied beveiligingsbewustzijnstraining aan de gebruiker
Impact
Het opvolgen van deze detectie en het implementeren van de aanbevolen stappen helpt om verdere compromittering te voorkomen en verhoogt de beveiliging van het getroffen account.