CERT-SG IRM-13: Customer Phishing

CERT-SG IRM-13: Customer Phishing

Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.

Resumen original

PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, guidelines to handle customer phishing incidents.

WHO SHOULD USE IRM SHEETS?

  • Administrators
  • Security Operation Center
  • CISOs and deputies
  • CERTs (Computer Emergency Response Team)

Metodos

Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a incidentes de phishing dirigido a clientes.

Hallazgos clave

  • Preparacion: Crear lista de todos los dominios legitimos de la empresa para evitar takedowns erroneos; preparar pagina web de alerta lista para publicar en cualquier momento; preparar formularios de takedown en varios idiomas; desplegar DKIM, DMARC y SPF en toda la cadena de correo; monitorear dominios cybersquatteados; mantener contactos internos (registro de dominios, decisores de cibercriminalidad) y externos (hosting, registrars, proveedores email, CERTs mundiales); concienciar clientes sobre phishing proactivamente; lineas de negocio deben evitar enviar URLs a clientes y usar firma indicando que nunca pediran credenciales
  • Identificacion - Deteccion: Monitorear puntos de contacto (email, formularios web); desplegar spam traps; monitoreo activo de repositorios de phishing (PhishTank, Google Safe Browsing); monitorear listas de correo especializadas y feeds RSS/Twitter; sistemas de monitoreo automatizado para reaccion instantanea; revisar logs web buscando referrers sospechosos (el sitio phishing redirige al legitimo despues del engano)
  • Identificacion - Evidencia: Copia con timestamp de paginas phishing usando herramientas como HTTrack; capturar TODAS las paginas del esquema; revisar codigo fuente: destino de datos (PHP script, email al estafador, API como Telegram), informacion del actor en URI/codigo/sistema de dropping de credenciales; verificar si graficos vienen del sitio legitimo (si es asi, se pueden cambiar para mostrar "PHISHING WEBSITE" en la pagina del estafador)
  • Contencion: Difundir URL fraudulenta en todos los navegadores (IE, Chrome, Safari, Firefox, Netcraft toolbar, Phishing-Initiative); difundir contenido de email fraudulento en sitios de reporte de spam; desplegar pagina de alerta para clientes; si se es impactado varias veces por semana, usar pagina informativa permanente en lugar de alertas repetitivas
  • Remediacion: Contactar dueno del sitio comprometido para remover contenido y mejorar seguridad; contactar empresa de hosting (abuse@hostingcompany) y luego por telefono; contactar proveedor de email para cerrar cuentas fraudulentas; si hay redireccion, eliminarla tambien; insistir si no hay respuesta; contactar CERT local si el takedown es lento
  • Recuperacion: Verificar que paginas fraudulentas y/o email esten caidos; seguir monitoreando URL fraudulenta (puede reaparecer horas despues); monitorear redirecciones no eliminadas; remover pagina de alerta al final de la campana

Relevancia

Guia orientada al exterior (clientes), complementaria al IRM-16 que se enfoca en phishing interno. Destaca la tactica ingeniosa de cambiar graficos en el sitio legitimo para mostrar "PHISHING WEBSITE" cuando el sitio de phishing los referencia directamente. La enfasis en preparar formularios de takedown multilingue y mantener redes de contactos con CERTs mundiales refleja la naturaleza internacional del phishing.

Citas clave

"If possible, in case the graphics are taken from one of your own websites, you could change the graphics to display a 'PHISHING WEBSITE' logo on the fraudster's page." (p. 6)

"In case you are impacted several times a week, don't always deploy an alert/warning message but rather a very informative phishing page to raise awareness." (p. 7)

"The decision to act on the fraudulent website/e-mail address must be taken as soon as possible, within minutes." (p. 6)

Conexiones

Themes