新CAPEC吗?从这里开始
>CAPEC列表> capec - 656:语音网络钓鱼(版本3.9)

capec - 656:语音钓鱼
攻击模式ID: 656
抽象:详细的
视图定制的信息:
+描述
敌人目标用户提供网络钓鱼攻击的目的是征求帐户密码或用户的敏感信息。语音网络钓鱼的网络钓鱼的社会工程学技术的一种变体是通过语音电话发起攻击,而不是电子邮件。吸引用户来提供敏感信息的对手,他伪装成一个合法的所谓的组织的员工。声音钓鱼攻击偏离标准的网络钓鱼攻击,用户通常不与妥协的网站提供敏感信息交互,而是口头提供这些信息。声音也可以由网络钓鱼攻击对手的形式“点名”或受害者如果调用一个非法的电话号码。
+替代条款

术语:Vishing

术语:VoIP网络钓鱼

+攻击的可能性

+典型的严重性

+的关系
部分帮助此表显示了其他的攻击模式和高水平类别相关的这种攻击模式。这些关系被定义为ChildOf ParentOf,给类似的项目可能存在的洞察力在较高和较低的抽象级别。此外,关系如光束,PeerOf, CanAlsoBe定义显示类似的攻击模式,用户可能想要探索。
自然 类型 ID 的名字
ChildOf 标准的攻击模式标准的攻击模式-一个标准的级别CAPEC中攻击模式是集中在一个特定的方法或技术用于攻击。它通常被视为一个单一的完全执行攻击。标准的攻击模式是为了提供足够的细节来理解特定的技术,以及它如何试图完成预期的目标。标准水平的攻击模式是一种特定类型的一个更抽象的元级别的攻击模式。 98年 网络钓鱼
部分帮助此表显示了这种攻击模式的观点属于和顶级类别内的这一观点。
视图名称 顶级类别
域的攻击 社会工程
机制的攻击 从事欺骗性的交互
+执行流程
探索

  1. 获得恶搞合法网站域名和证书:这个可选的步骤可以帮助对手冒充合法组织更加让人信服。敌人可以使用同形异义字或类似的攻击让用户相信他们正在使用的合法网站。如果这种攻击对手利用不请自来,这一步是跳过。

    技术
    可以获得一个域名,视觉上看起来类似于合法组织的域名。一个例子是www.paypaI.com和www.paypal.com(第一个包含一个资本,而不是小写字母L)
    可以获得一个合法的新域名的SSL证书。

  2. 探索合法网站创建重复:敌人选择创建一个网站(可选在一个URL看起来类似于原始URL)相似的组织的网站,他们试图模仿。网站将包含一个受害者的电话号码打电话给帮助他们与他们的问题,发起攻击。如果这种攻击对手利用不请自来,这一步是跳过。

    技术
    使用搜索软件合法网站上复制的网页。
    手动保存副本所需的web页面从合法网站。
    创建新的web页面的合法网站的外观和感觉,但包含全新的内容。
利用

  1. 说服用户提供敏感信息的对手。:敌人“冷称之为“受害者或接收电话受害者通过恶意网站并提供文字-动作,为了说服用户向对手提供敏感信息(例如登录凭证,银行帐户信息,等等)。关键是要让受害者相信个人他们谈话从一个合法的实体与受害者有业务发生,呼吁正当理由。文字-动作通常会需要良好的合法和紧急从用户足够迅速的行动。

    技术
    调用用户从欺骗一个收信的电话号码。

  2. 利用偷来的信息:一旦对手获得敏感信息,这些信息可用于登录到受害者的银行账户和转账记账的选择,或用偷来的信用卡欺诈购买信息。

    技术
    登录使用另一个受害者的合法网站提供的凭证
+先决条件
敌人需要电话号码发起与受害者接触,除了收信的电话号码打电话给受害者。
敌人需要猜出受害者的实体业务和模仿。大多数时候钓鱼者只使用最流行的银行/服务和发送他们的“钩子”许多潜在的受害者。
敌人需要足够令人信服的行动呼吁,提示用户采取行动。
通过欺骗如果被动地进行这种攻击网站,复制网站需要看起来非常类似于原始网站的URL用于获取需要看起来像真正的URL表示业务实体。
+技能要求
(级别:中等)
关于网站的基本知识:获得他们,他们设计和实现等。
+所需资源
收信的电话号码(s)与受害者发起呼叫
+指标
你收到一个电话,一个实体,你甚至都没有一个客户提示您登录到您的帐户。
你收到任何电话,请求你提供敏感信息。
重定向到一个网站,指示你叫屏幕解决文字-动作。
+后果
部分帮助这个表指定不同的个体与攻击模式相关的后果。范围确定违反了安全属性,而影响了负面的技术影响,如果敌人成功的攻击。可能提供的信息如何可能的具体结果预计将看到列表中相对于其它后果。例如,可能有高可能性模式将被用来实现一定的影响,但较低的可能性,它将被利用来实现不同的影响。
范围 影响 可能性
保密
访问控制
授权
获得特权
保密
读取数据
完整性
修改数据
+缓解措施
不接受陌生来电或数字可能被标记为垃圾邮件。也不要电话号码后屏幕出现意外重定向到潜在的恶意网站。在这两种情况下,不提供敏感信息不合法发起语音通话。相反,打电话给你的银行,贝宝,易趣,等等,通过面向公众的网站数量和询问这个问题。
+例子,实例
目标接收电子邮件或文本消息声称他们的苹果ID被禁用由于可疑活动,包括链接包括说明如何解锁他们的苹果账户。短信中的链接看起来合法的,一旦点击链接,用户被重定向到收信网页,提示用户拨打指定号码发起解锁的过程。目标发起电话并提供他们的凭证或其他敏感信息的个人假设为苹果公司工作。现在,对手拥有这些数据,它可以用于登录到帐户获取其他敏感数据,如苹果支付信息。
敌人调用目标和自称为银行工作。对手通知目标,他们的银行账户已经被冻结,由于潜在的欺诈消费,需要验证为了重新启用帐户。目标,相信对方是一个合法的银行员工,提供他们的银行账户登录凭证确认他们是授权的所有者帐户。敌人然后确认身份验证和声称帐户已经被解锁。一旦对手取得这些证书,钱可以从受害者的账户转移到一个帐户控制的对手。
+分类法映射
部分帮助CAPEC映射ATT&CK技术利用一个继承模型简化和减少直接CAPEC / ATT&CK映射。继承的映射表示文本说明父CAPEC有相关ATT&CK映射。注意,ATT&CK企业框架不使用一个继承模型的一部分映射到CAPEC。
(见相关ATT&CK分类法映射)
+引用
[ref - 592]乔维Umawing。“别的phishy:如何检测手机上的网络钓鱼”。伪。2018-12-10。<https://blog.malwarebytes.com/101/2018/12/something-else-phishy-detect-phishing-attempts-mobile/>。URL验证:2020-11-13
珍妮弗·范德Kleut (ref - 594)。“vishing是什么?小贴士发现和避免诈骗的声音”。NortonLifeLock Inc . .<https://ieeexplore.ieee.org/document/6604058/authors的作者>。URL验证:2020-11-13
[ref - 595]“Vishing是什么?”。AO卡巴斯基实验室。<https://www.kaspersky.com/resource-center/definitions/vishing>。URL验证:2020-11-13
+内容的历史
提交
提交日期 提交者 组织
2020-12-17
(版本3.4)
 CAPEC内容团队 manbetx客户端首页
更多的信息是可用的,请选择一个不同的过滤器。
页面最后更新或审查:2020年12月17日,

使用常见的攻击模式枚举和分类(CAPEC)和相关的引用从这个网站的使用条款。CAPEC赞助的美国国土安全部(DHS)网络和基础设施安全机构(CISA)和管理的国土安全系统工程和发展研究所这是由(HSSEDI)manbetx客户端首页(斜方)。版权©2007 - 2023,斜方公司。manbetx客户端首页CAPEC和CAPEC标志是斜方公司的商标。manbetx客户端首页