T1583-002-盗取账户-电子邮箱账户

来自ATT&CK的描述

攻击者可能会创建可在攻击目标过程中使用的电子邮件账户。攻击者可以使用在电子邮件供应商处创建的账户来推进他们的行动，例如利用它们来进行 "信息钓鱼 "或 "网络钓鱼"。攻击者还可以采取措施，围绕电子邮件账户培养一个角色，例如通过使用社交媒体账户，增加后续行为的成功机会。创建的电子邮件账户也可用于获取基础设施（例如：域名）。

为了减少将行动与自己联系起来的机会，攻击者可能会使用一次性的电子邮件服务。

测试案例

通过搜索引擎可以检索到很多临时邮箱、历史联系号码等资源。

检测日志

无法有效监测

测试复现

无

测试留痕

无

检测规则/思路

无

建议

缓解措施

这种技术不容易用预防控制来缓解，因为它是基于企业防御和控制范围之外的行为。

检测

大部分此类活动将在目标组织的可见性之外进行，因此很难检测到这种行为。检测工作可能集中在攻击生命周期的相关阶段，例如在初始访问期间（例如：网络钓鱼）。

参考推荐

MITRE-ATT&CK-T1585-002

https://attack.mitre.org/techniques/T1585/002/