T1589-003-收集受害者身份信息-员工姓名
来自ATT&CK的描述
在入侵受害者之前,攻击者可能会收集员工姓名,这些信息可以在目标定位期间使用。员工姓名用于导出电子邮件地址,以及帮助指导其他侦察工作或制作更可信的诱饵。
攻击者可以轻松地收集员工姓名,因为它们很容易获得并且可以通过在线或其他可访问的数据集(例如:社交媒体或搜索受害者拥有的网站)暴露给攻击者。收集这些信息可能为如下活动提供可能性:其他形式的侦察活动(例如:搜索开放网站/域或钓鱼),建立运营资源(例如:入侵账号),或实现初始访问(例如:钓鱼攻击或有效账号)。
测试案例
例如:比如直接通过购买一些招聘网站上的账号即可查看企业的员工的姓名信息。同样招聘网站具备社交属性的话,也可以获取到相关员工的姓名信息。
检测日志
无法有效监测
测试复现
无
测试留痕
无
检测规则/思路
无
建议
许多此类攻击活动的发生率很高,并且相关的误报率也很高,并且有可能发生在目标组织的监测范围之外,从而使防御者难以发现。
检测工作可能会集中在攻击生命周期的相关阶段,例如在"初始访问"阶段。
参考推荐
MITRE-ATT&CK-T1589-003