An adversary targets a specific user or group with a Phishing (CAPEC-98) attack tailored to a category of users in order to have maximum relevance and deceptive capability. Spear Phishing is an enhanced version of the Phishing attack targeted to a specific user or group. The quality of the targeted email is usually enhanced by appearing to come from a known or trusted entity. If the email account of some trusted entity has been compromised the message may be digitally signed. The message will contain information specific to the targeted users that will enhance the probability that they will follow the URL to the compromised site. For example, the message may indicate knowledge of the targets employment, residence, interests, or other information that suggests familiarity. As soon as the user follows the instructions in the message, the attack proceeds as a standard Phishing attack.
Description
Attack Execution Flow
Step 1
Explore[Obtain useful contextual detailed information about the targeted user or organization] An adversary collects useful contextual detailed information about the targeted user or organization in order to craft a more deceptive and enticing message to lure the target into responding.
Conduct web searching research of target. See also: CAPEC-118.
Identify trusted associates, colleagues and friends of target. See also: CAPEC-118.
Utilize social engineering attack patterns such as Pretexting. See also: CAPEC-407.
Collect social information via dumpster diving. See also: CAPEC-406.
Collect social information via traditional sources. See also: CAPEC-118.
Collect social information via Non-traditional sources. See also: CAPEC-118.
[Ottenere informazioni contestuali dettagliate utili sull'utente o sull'organizzazione target] Un adversary raccoglie informazioni contestuali dettagliate utili sull'utente o sull'organizzazione target al fine di creare un messaggio più ingannevole e allettante per indurre il bersaglio a rispondere.
Condurre ricerche tramite web sul target. Vedi anche: CAPEC-118.
Identificare associati, colleghi e amici fidati del target. Vedi anche: CAPEC-118.
Utilizzare schemi di attacco di social engineering come Pretexting. Vedi anche: CAPEC-407.
Raccogliere informazioni sociali tramite dumpster diving. Vedi anche: CAPEC-406.
Raccogliere informazioni sociali tramite fonti tradizionali. Vedi anche: CAPEC-118.
Raccogliere informazioni sociali tramite fonti non tradizionali. Vedi anche: CAPEC-118.
Attack Techniques
-
Collect social information via Non-traditional sources. See also: CAPEC-118.
-
Collect social information via traditional sources. See also: CAPEC-118.IT: Raccogliere informazioni sociali tramite fonti non tradizionali. Vedi anche: CAPEC-118.
-
Conduct web searching research of target. See also: CAPEC-118.IT: Raccogliere informazioni sociali tramite fonti non tradizionali. Vedi anche: CAPEC-118.
-
Identify trusted associates, colleagues and friends of target. See also: CAPEC-118.IT: Raccogliere informazioni sociali tramite fonti non tradizionali. Vedi anche: CAPEC-118.
-
Utilize social engineering attack patterns such as Pretexting. See also: CAPEC-407.IT: Raccogliere informazioni sociali tramite fonti non tradizionali. Vedi anche: CAPEC-118.
-
Collect social information via dumpster diving. See also: CAPEC-406.IT: Raccogliere informazioni sociali tramite fonti non tradizionali. Vedi anche: CAPEC-118.
Step 2
Experiment[Optional: Obtain domain name and certificate to spoof legitimate site] This optional step can be used to help the adversary impersonate the legitimate site more convincingly. The adversary can use homograph attacks to convince users that they are using the legitimate website. Note that this step is not required for phishing attacks, and many phishing attacks simply supply URLs containing an IP address and no SSL certificate.
Optionally obtain a domain name that visually looks similar to the legitimate site's domain name. An example is www.paypaI.com vs. www.paypal.com (the first one contains a capital i, instead of a lower case L).
Optionally obtain a legitimate SSL certificate for the new domain name.
[Facoltativo: Ottenere il nome di dominio e il certificato per impersonare un sito legittimo] Questo passaggio opzionale può essere utilizzato per aiutare l'attaccante a impersonare il sito legittimo in modo più convincente. L'attaccante può utilizzare attacchi di homograph per convincere gli utenti che stanno utilizzando il sito web legittimo. Si noti che questo passaggio non è necessario per gli attacchi di phishing, e molti attacchi di phishing forniscono semplicemente URL contenenti un indirizzo IP e nessun certificato SSL.
Facoltativamente, ottenere un nome di dominio che visivamente assomigli al nome di dominio del sito legittimo. Un esempio è www.paypaI.com vs. www.paypal.com (il primo contiene una i maiuscola, invece di una L minuscola).
Facoltativamente, ottenere un certificato SSL legittimo per il nuovo nome di dominio.
Attack Techniques
-
Optionally obtain a legitimate SSL certificate for the new domain name.
-
Optionally obtain a domain name that visually looks similar to the legitimate site's domain name. An example is www.paypaI.com vs. www.paypal.com (the first one contains a capital i, instead of a lower case L).IT: Facoltativamente, ottenere un certificato SSL legittimo per il nuovo nome di dominio.
Step 3
Experiment[Optional: Explore legitimate website and create duplicate] An adversary creates a website (optionally at a URL that looks similar to the original URL) that closely resembles the website that they are trying to impersonate. That website will typically have a login form for the victim to put in their authentication credentials. There can be different variations on a theme here.
Use spidering software to get copy of web pages on legitimate site.
Manually save copies of required web pages from legitimate site.
Create new web pages that have the legitimate site's look at feel, but contain completely new content.
[Facoltativo: Esplora un sito web legittimo e crea una copia duplicata] Un adversario crea un sito web (facoltativamente a un URL che assomiglia a quello originale) che somiglia molto al sito che sta cercando di impersonare. Quel sito web avrà tipicamente un modulo di login per far inserire le credenziali di autenticazione alla vittima. Possono esserci diverse variazioni su questo tema.
Utilizza software di spidering per ottenere una copia delle pagine web del sito legittimo.
Salva manualmente copie delle pagine web necessarie dal sito legittimo.
Crea nuove pagine web che abbiano l'aspetto e la sensazione del sito legittimo, ma contengano contenuti completamente nuovi.
Attack Techniques
-
Manually save copies of required web pages from legitimate site.
-
Use spidering software to get copy of web pages on legitimate site.IT: Salva manualmente copie delle pagine web richieste dal sito legittimo.
-
Create new web pages that have the legitimate site's look at feel, but contain completely new content.IT: Salva manualmente copie delle pagine web richieste dal sito legittimo.
Step 4
Experiment[Optional: Build variants of the website with very specific user information e.g., living area, etc.] Once the adversary has their website which duplicates a legitimate website, they need to build very custom user related information in it. For example, they could create multiple variants of the website which would target different living area users by providing information such as local news, local weather, etc. so that the user believes this is a new feature from the website.
Integrate localized information in the web pages created to duplicate the original website. Those localized information could be dynamically generated based on unique key or IP address of the future victim.
[Facoltativo: Creare varianti del sito web con informazioni utente molto specifiche, ad esempio, area di residenza, ecc.] Una volta che l’attaccante ha il proprio sito web che duplica un sito legittimo, deve inserire informazioni molto personalizzate relative all’utente. Ad esempio, potrebbe creare multiple varianti del sito che mirano a utenti di diverse aree di residenza fornendo informazioni come notizie locali, meteo locale, ecc., in modo che l’utente creda che si tratti di una nuova funzionalità del sito.
Integrare informazioni localizzate nelle pagine web create per duplicare il sito originale. Queste informazioni localizzate potrebbero essere generate dinamicamente in base a una chiave unica o all’indirizzo IP della futura vittima.
Attack Techniques
-
Integrate localized information in the web pages created to duplicate the original website. Those localized information could be dynamically generated based on unique key or IP address of the future victim.
Step 5
Exploit[Convince user to enter sensitive information on adversary's site.] An adversary sends a message (typically an e-mail) to the victim that has some sort of a call to action to get the user to click on the link included in the e-mail (which takes the victim to adversary's website) and log in. The key is to get the victim to believe that the message is coming from a legitimate entity trusted by the victim or with which the victim or does business and that the website pointed to by the URL in the e-mail is the legitimate website. A call to action will usually need to sound legitimate and urgent enough to prompt action from the user.
Send the user a message from a spoofed legitimate-looking e-mail address that asks the user to click on the included link.
Place phishing link in post to online forum.
[Convincere l'utente a inserire informazioni sensibili sul sito dell'avversario.] Un avversario invia un messaggio (tipicamente un'e-mail) alla vittima che contiene una sorta di invito all'azione per indurre l'utente a cliccare sul link incluso nell'e-mail (che porta la vittima al sito dell'avversario) e ad effettuare il login. La chiave è far credere alla vittima che il messaggio provenga da un'entità legittima e affidabile o con cui la vittima ha rapporti commerciali, e che il sito web indicato dall'URL nell'e-mail sia il sito legittimo. Un invito all'azione dovrà generalmente sembrare legittimo e abbastanza urgente da indurre l'utente ad agire.
Inviare all'utente un messaggio da un indirizzo e-mail contraffatto che sembri legittimo e chieda all'utente di cliccare sul link incluso.
Inserire link di phishing nel post di un forum online.
Attack Techniques
-
Send the user a message from a spoofed legitimate-looking e-mail address that asks the user to click on the included link.
-
Place phishing link in post to online forum.IT: Invia all'utente un messaggio da un indirizzo e-mail contraffatto dall'aspetto legittimo che chiede all'utente di cliccare sul link incluso.
Step 6
Exploit[Use stolen credentials to log into legitimate site] Once the adversary captures some sensitive information through phishing (login credentials, credit card information, etc.) the adversary can leverage this information. For instance, the adversary can use the victim's login credentials to log into their bank account and transfer money to an account of their choice.
Log in to the legitimate site using another user's supplied credentials.
[Utilizzo di credenziali rubate per accedere a un sito legittimo] Una volta che l'attaccante ottiene alcune informazioni sensibili tramite phishing (credenziali di accesso, dati della carta di credito, ecc.), può sfruttare queste informazioni. Ad esempio, l'attaccante può usare le credenziali di accesso della vittima per accedere al suo conto bancario e trasferire denaro su un conto a sua scelta.
Accedere al sito legittimo utilizzando le credenziali fornite da un altro utente.
Attack Techniques
-
Log in to the legitimate site using another user's supplied credentials.