跳转至

T1583-002-盗取账户-电子邮箱账户

来自ATT&CK的描述

攻击者可能会创建可在攻击目标过程中使用的电子邮件账户。攻击者可以使用在电子邮件供应商处创建的账户来推进他们的行动,例如利用它们来进行 "信息钓鱼 "或 "网络钓鱼"。攻击者还可以采取措施,围绕电子邮件账户培养一个角色,例如通过使用社交媒体账户,增加后续行为的成功机会。创建的电子邮件账户也可用于获取基础设施(例如:域名)。

为了减少将行动与自己联系起来的机会,攻击者可能会使用一次性的电子邮件服务。

测试案例

通过搜索引擎可以检索到很多临时邮箱、历史联系号码等资源。

检测日志

无法有效监测

测试复现

测试留痕

检测规则/思路

建议

缓解措施

这种技术不容易用预防控制来缓解,因为它是基于企业防御和控制范围之外的行为。

检测

大部分此类活动将在目标组织的可见性之外进行,因此很难检测到这种行为。检测工作可能集中在攻击生命周期的相关阶段,例如在初始访问期间(例如:网络钓鱼)。

参考推荐

MITRE-ATT&CK-T1585-002

https://attack.mitre.org/techniques/T1585/002/