CERT-SG IRM-14: Scam
CERT-SG IRM-14: Scam
Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.
Resumen original
PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, guidelines to handle fraudulent scam incidents.
WHO SHOULD USE IRM SHEETS?
- Administrators
- Security Operation Center
- CISOs and deputies
- CERTs (Computer Emergency Response Team)
Metodos
Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a incidentes de estafas fraudulentas (scam).
Hallazgos clave
- Preparacion: Crear lista de dominios legitimos para evitar takedowns erroneos; preparar pagina web de alerta; preparar formularios de takedown multilingue; tener multiples canales de contacto 24/7 (email security@, formularios web a maximo 2 clicks, Twitter); desplegar DKIM, DMARC y SPF; mantener contactos de takedown en hosting, registrars, registries y proveedores email; contactos en CERTs mundiales; concienciar clientes sobre tipos de scam (lottery scam, 419 scam)
- Identificacion: ADVERTENCIA: usar equipo corporativo dedicado, nunca personal; monitorear puntos de contacto; monitorear dominios cybersquatteados y contenido; monitorear cuentas de redes sociales que usurpen directivos o marca; spam traps; monitoreo activo de repositorios de scam (419scam); sistemas de monitoreo automatizado para alarmas instantaneas; recopilar muestras de emails fraudulentos con headers completos para verificar IP real del remitente y determinar si es maquina unica o botnet
- Contencion: Difundir contenido de email fraudulento en sitios/herramientas de reporte de spam/fraude; comunicar con clientes; agregar URLs en Blackhole DNS, proxies y blocklist de firewall; desplegar pagina de alerta si la marca esta impactada
- Remediacion: Contactar dueno de sitio comprometido; contactar hosting (especialmente si es dominio cybersquatteado); contactar proveedor email para cerrar cuenta fraudulenta; contactar equipo de abuso de redes sociales para eliminar cuentas fraudulentas; bloquear intercambio de email con la empresa/persona; insistir si no hay respuesta; contactar CERT local si el takedown es lento
- Recuperacion: Verificar cierre de email fraudulento; monitorear sitios web asociados; remover pagina de alerta al final de la campana
- Lecciones aprendidas: Reporte de crisis; mejorar filtros DKIM, SPF y DMARC; colaborar con equipos legales
Relevancia
Guia especifica para estafas que abusan de la marca corporativa, diferenciandose del phishing por su enfoque en fraude por email mas que en robo de credenciales. La advertencia de usar equipo corporativo dedicado (nunca personal) para interactuar con estafadores es un punto de seguridad operativa importante. Comparte mucha infraestructura de preparacion con IRM-13 (takedowns, DKIM/DMARC/SPF) pero agrega el monitoreo de redes sociales y la proteccion contra usurpacion de directivos.
Citas clave
"Warning: Have a dedicated corporate equipment to identify or exchange with the scammer, do not use your personal equipment." (p. 5)
"Use automated monitoring systems on all these sources, so that every detection triggers an alarm for instant reaction." (p. 5)
"In case you are impacted several times a week, don't always deploy an alert/warning message but rather a very informative page about scam, to raise awareness." (p. 6)
Conexiones
- certsg-irm-13-customer-phishing — Phishing a clientes, procedimientos de takedown compartidos
- certsg-irm-15-trademark-infringement — Infraccion de marca, cybersquatting asociado a scams
- certsg-irm-08-blackmail — Chantaje, puede involucrar tacticas de scam
- certsg-irm-18-large-scale-compromise — Compromiso a gran escala, referenciado para recuperacion
- Tema principal: Themes/respuesta-incidentes-lifecycle