Phishing is a social engineering technique where an attacker masquerades as a legitimate entity with which the victim might do business in order to prompt the user to reveal some confidential information (very frequently authentication credentials) that can later be used by an attacker. Phishing is essentially a form of information gathering or \'fishing\' for information.
Description
Attack Execution Flow
4
1
Step 1
Explore[Obtain domain name and certificate to spoof legitimate site] This optional step can be used to help the attacker impersonate the legitimate site more convincingly. The attacker can use homograph attacks to convince users that they are using the legitimate website. Note that this step is not required for phishing attacks, and many phishing attacks simply supply URLs containing an IP address and no SSL certificate.
Optionally obtain a domain name that visually looks similar to the legitimate site's domain name. An example is www.paypaI.com vs. www.paypal.com (the first one contains a capital i, instead of a lower case L)
Optionally obtain a legitimate SSL certificate for the new domain name.
AI Translation
[Ottenere nome di dominio e certificato per impersonare un sito legittimo] Questo passaggio opzionale può essere utilizzato per aiutare l'attaccante a impersonare il sito legittimo in modo più convincente. L'attaccante può utilizzare attacchi homograph per convincere gli utenti che stanno utilizzando il sito web legittimo. Si noti che questo passaggio non è richiesto per gli attacchi di phishing, e molti attacchi di phishing forniscono semplicemente URL contenenti un indirizzo IP e nessun certificato SSL.
Facoltativamente, ottenere un nome di dominio che visivamente assomigli a quello del sito legittimo. Un esempio è www.paypaI.com vs. www.paypal.com (il primo contiene una i maiuscola, invece di una L minuscola)
Facoltativamente, ottenere un certificato SSL legittimo per il nuovo nome di dominio.
Attack Techniques
-
Optionally obtain a domain name that visually looks similar to the legitimate site's domain name. An example is www.paypaI.com vs. www.paypal.com (the first one contains a capital i, instead of a lower case L)
-
Optionally obtain a legitimate SSL certificate for the new domain name.IT: Facoltativamente, ottenere un nome di dominio che visivamente somigli a quello del sito legittimo. Un esempio è www.paypaI.com vs. www.paypal.com ( il primo contiene una I maiuscola, invece di una L minuscola)
2
Step 2
Explore[Explore legitimate website and create duplicate] An attacker creates a website (optionally at a URL that looks similar to the original URL) that closely resembles the website that they are trying to impersonate. That website will typically have a login form for the victim to put in their authentication credentials. There can be different variations on a theme here.
Use spidering software to get copy of web pages on legitimate site.
Manually save copies of required web pages from legitimate site.
Create new web pages that have the legitimate site's look and feel, but contain completely new content.
AI Translation
[Esplora sito web legittimo e crea una copia duplicata] Un attaccante crea un sito web (facoltativamente a un URL che assomiglia a quello originale) che somiglia molto al sito che cerca di impersonare. Quel sito avrà tipicamente un modulo di login per far inserire alla vittima le proprie credenziali di autenticazione. Possono esserci diverse varianti di questa tattica.
Utilizza software di spidering per ottenere una copia delle pagine web del sito legittimo.
Salva manualmente copie delle pagine web necessarie dal sito legittimo.
Crea nuove pagine web che abbiano l'aspetto e la sensazione del sito legittimo, ma contengano contenuti completamente nuovi.
Attack Techniques
-
Use spidering software to get copy of web pages on legitimate site.
-
Manually save copies of required web pages from legitimate site.IT: Utilizzare software di spidering per ottenere una copia delle pagine web di un sito legittimo.
-
Create new web pages that have the legitimate site's look and feel, but contain completely new content.IT: Utilizzare software di spidering per ottenere una copia delle pagine web di un sito legittimo.
3
Step 3
Exploit[Convince user to enter sensitive information on attacker's site.] An attacker sends an e-mail to the victim that has some sort of a call to action to get the user to click on the link included in the e-mail (which takes the victim to attacker's website) and log in. The key is to get the victim to believe that the e-mail is coming from a legitimate entity with which the victim does business and that the website pointed to by the URL in the e-mail is the legitimate website. A call to action will usually need to sound legitimate and urgent enough to prompt action from the user.
Send the user a message from a spoofed legitimate-looking e-mail address that asks the user to click on the included link.
Place phishing link in post to online forum.
AI Translation
[Convince user to enter sensitive information on attacker's site.] Un attaccante invia un'e-mail alla vittima contenente una sorta di invito all'azione per indurre l'utente a cliccare sul link incluso nell'e-mail (che porta alla website dell'attaccante) e ad effettuare il login. La chiave è far credere alla vittima che l'e-mail provenga da un'entità legittima con cui ha rapporti commerciali e che il sito indicato dall'URL nell'e-mail sia il sito ufficiale. Un invito all'azione dovrà generalmente sembrare legittimo e abbastanza urgente da spingere l'utente ad agire.
Inviare all'utente un messaggio da un indirizzo e-mail contraffatto che sembri legittimo, chiedendo di cliccare sul link incluso.
Inserire link di phishing in un post su un forum online.
Attack Techniques
-
Send the user a message from a spoofed legitimate-looking e-mail address that asks the user to click on the included link.
-
Place phishing link in post to online forum.IT: Invia all'utente un messaggio da un indirizzo e-mail contraffatto dall'aspetto legittimo che chiede all'utente di cliccare sul link incluso.
4
Step 4
Exploit[Use stolen credentials to log into legitimate site] Once the attacker captures some sensitive information through phishing (login credentials, credit card information, etc.) the attacker can leverage this information. For instance, the attacker can use the victim's login credentials to log into their bank account and transfer money to an account of their choice.
Log in to the legitimate site using another user's supplied credentials
AI Translation
[Utilizzo di credenziali rubate per accedere a un sito legittimo] Una volta che l'attaccante ottiene alcune informazioni sensibili tramite phishing (credenziali di accesso, dati della carta di credito, ecc.), può sfruttare queste informazioni. Ad esempio, l'attaccante può usare le credenziali di accesso della vittima per entrare nel suo conto bancario e trasferire denaro su un conto a sua scelta.
Accedere al sito legittimo utilizzando le credenziali fornite da un altro utente
Attack Techniques
-
Log in to the legitimate site using another user's supplied credentials
Mitigations
1
Do Not Follow Any Links That You Receive Within Your E-Mails And Certainly Do Not Input Any Login Credentials On The Page That They Take You Too. Instead, Call Your Bank, Paypal, Ebay, Etc., And Inquire About The Problem. A Safe Practice Would Also Be To Type The Url Of Your Bank In The Browser Directly And Only Then Log In. Also, Never Reply To Any E-Mails That Ask You To Provide Sensitive Information Of Any Kind.
Consequences
Security Scopes Affected
Access Control
Authorization
Confidentiality
Integrity
Potential Impacts
Gain Privileges
Modify Data
Read Data
Indicators
2
You receive an e-mail from an entity that you are not even a customer of prompting you to log into your account.
You receive any e-mail that provides you with a link which takes you to a website on which you need to enter your log in information.
Relationships
Parent CAPECs
Related ATT&CK Techniques
2
T1566
Phishing
Adversaries may send phishing messages to gain access to victim systems. All forms of phishing are electronically delivered social engineering. …
T1598
Phishing for Information
Adversaries may send phishing messages to elicit sensitive information that can be used during targeting. Phishing for information is an …
Resources Required
1
Some web development tools to put up a fake website.