CERT-SG IRM-16: Phishing
CERT-SG IRM-16: Phishing
Playbook operativo de Incident Response del CERT Societe Generale. Importado desde el vault PAI Obsidian-Inbox para uso de Juniors.
Resumen original
PURPOSE: This Incident Response Methodology is a cheat sheet dedicated to handlers investigating on a precise security issue — specifically, guidelines to handle and respond to phishing targeting collaborators.
WHO SHOULD USE IRM SHEETS?
- Administrators
- Security Operation Center
- CISOs and deputies
- CERTs (Computer Emergency Response Team)
Metodos
Case study / cheat sheet basado en el framework NIST de 6 pasos, aplicado a phishing dirigido a colaboradores internos de la organizacion.
Hallazgos clave
- Preparacion: Preparar comunicacion de alerta lista para publicar; desplegar DKIM, DMARC y SPF en toda la cadena de correo; implementar autenticacion multifactor (MFA); monitorear dominios cybersquatteados; contactos internos (registro de dominios, decisores de cibercriminalidad) y externos (hosting, registries, proveedores email, CERTs); concienciar empleados y clientes proactivamente; ejecutar campanas periodicas de awareness de phishing; desplegar solucion tecnica para que colaboradores reporten emails facilmente; establecer procedimientos especificos para analisis de adjuntos y URLs
- Identificacion - Deteccion: Monitorear puntos de contacto; spam traps; monitoreo activo de repositorios (PhishTank, Google Safe Browsing); feeds especializados; monitoreo automatizado; revisar logs web buscando referrers sospechosos
- Identificacion - Scoping: Determinar numero de usuarios objetivo; buscar cuentas comprometidas explotadas e identificar actividades maliciosas relacionadas
- Identificacion - Analisis: Determinar si es campana de credential harvesting o distribucion de malware; determinar si es campana dirigida o masiva; inspeccionar asunto y cuerpo del mensaje; usar sandbox para analizar adjuntos maliciosos y extraer IOCs; analizar links, dominios y hostnames con servicios de threat intelligence; revisar codigo fuente del sitio phishing; investigar headers de email (servidor de origen, informacion del remitente)
- Contencion: Bloquear IOCs de red en DNS, firewalls o proxies; bloquear campana por remitentes, asuntos u otros artefactos via email gateway; intentar eliminar emails de phishing de buzones; aplicar DNS Sinkhole en URL sospechosa (opcional); comunicar a colaboradores; desplegar pagina de alerta
- Remediacion: Cambiar y/o bloquear temporalmente credenciales de cuentas comprometidas; si la campana fue dirigida, considerar contactar fuerzas del orden y reguladores; considerar contactar CERT local
- Recuperacion: Verificar que paginas fraudulentas y/o email esten caidos; monitorear URL fraudulenta (puede reaparecer); remover pagina de alerta al final de la campana
Relevancia
Guia orientada al interior (colaboradores), complementaria al IRM-13 que se enfoca en clientes. Destaca la importancia del MFA como medida de preparacion y el uso de sandbox para analisis de adjuntos con extraccion de IOCs. La distincion entre campanas de credential harvesting vs distribucion de malware es critica porque determina flujos de respuesta completamente diferentes. El concepto de DNS Sinkhole como medida de contencion opcional segun arquitectura DNS es una tecnica avanzada bien contextualizada.
Citas clave
"Use sandbox environment to analyse malicious attachments and extract IOCs." (p. 6)
"If the phishing campaign was targeted, consider contacting law enforcement and regulators." (p. 8)
"At the end of a phishing campaign, remove the associated warning page from your website." (p. 9)
Conexiones
- certsg-irm-13-customer-phishing — Phishing a clientes, complemento orientado al exterior
- certsg-irm-07-windows-malware — Malware Windows, referenciado cuando la campana distribuye malware
- certsg-irm-10-social-engineering — Ingenieria social, phishing como forma especifica
- certsg-irm-18-large-scale-compromise — Compromiso a gran escala, referenciado para recuperacion
- Tema principal: Themes/respuesta-incidentes-lifecycle