यह प्लेबुक XDR स्टोरीज़ वर्कबेंच का उपयोग करके उन कहानियों की जांच कैसे करनी है, जो फ़िशिंग वेबसाइटों का उपयोग करती हैं।
यह प्लेबुक एसओसी इंजीनियरों के लिए फ़िशिंग हमलों के लिए उपयोग की जा रही वेबसाइटों से संबंधित संभावित सुरक्षा घटनाओं की जांच के लिए एक प्रणालीबद्ध दृष्टिकोण को रेखांकित करता है। यह शुरुआती जानकारी एकत्र करने, नेटवर्क ट्रैफ़िक का विश्लेषण करने, और खतरे की प्रकृति के बारे में निष्कर्ष निकालने के लिए एक ढांचा प्रदान करता है।
संभावित खतरे के बारे में बुनियादी जानकारी एकत्र करने के लिए कहानी में विवरण विजेट का उपयोग करें। कहानी के विवरण और अन्य डेटा की समीक्षा करें यह तय करने के लिए कि क्या आगे की जांच की आवश्यकता है। इसके अलावा, समान कहानियाँ अनुभाग में अन्य कहानियाँ दिखाई देती हैं जो समान संकेतकों और देखने योग्य तत्वों को साझा करती हैं।
कहानी के अमीर संदर्भ प्रदान करने और आपको कहानी का तेजी से आकलन करने में मदद करने के लिए एआई सारांश उत्पन्न करें क्लिक करें।
इस हमले से प्रभावित डिवाइस के बारे में डेटा की समीक्षा करने के लिए स्रोत विजेट का उपयोग करें।
अधिक जानकारी के लिए (जैसे संकेत आईडी) संकेत सूची का उपयोग करें, और अपनी जांच को अपनी क्वेरी के आधार पर केन्द्रित करें।
हमले के वितरण ग्राफ ट्रैफ़िक की प्रकृति, बॉट व्यवहार जिसके समान आवधिक हमलों, एक बार की घटना, या अन्य विशेषताओं को समझने में मदद कर सकता है।
फ़िशिंग हमलों के लिए, ट्रैफ़िक वितरण आमतौर पर कम संख्या में प्रवाह या एक बार की घटना होगी, जिसके ग्राफ़ कुछ इस प्रकार दिखते हैं:
एक संभावित फ़िशिंग हमले की जांच करने के लिए, यह पहचानना महत्वपूर्ण है कि यह हमला किस चरण में पहचान लिया गया था। Cato के सुरक्षा सेवाएँ निम्नलिखित विभिन्न चरणों में फ़िशिंग हमलों को पहचानती हैं:
-
पहुँच ब्लॉक - Cato ब्राउज़िंग गंतव्य को एक फ़िशिंग साइट के रूप में पहचानता है और साइट तक पहुँच को ब्लॉक करता है
-
क्रेडेंशियल सबमिशन ब्लॉक - जब कोई उपयोगकर्ता फ़िशिंग साइट का उपयोग करता है और साइट ब्राउज़र में प्रस्तुत होती है, तो Cato उपयोगकर्ता को क्रेडेंशियल दर्ज करने से रोक सकता है
-
पोस्ट-कम्प्रोमाइज डिटेक्शन - संदिग्ध गतिविधि निगरानी (SAM) सेवा पहचान सकती है कि जब कोई उपयोगकर्ता जोखिम भरे साइटों में क्रेडेंशियल सबमिट करता है, और संभावित उल्लंघन के लिए व्यवस्थापक को सूचित करने वाले इवेंट बनाता है
कहानी के इवेंट्स देखने और यह जानकारी प्राप्त करने के लिए कि फ़िशिंग प्रयास किस चरण में पहचान गया था, लक्ष्य कार्य विजेट का उपयोग करें और क्या यह ब्लॉक हो गया था। खतरे का नाम फ़ील्ड दिखा सकता है कि हमले को किस बिंदु पर पहचान गया था।
यह एक घटना का उदाहरण है जो एक फ़िशिंग साइट पर क्रेडेंशियल सबमिशन को IPS ब्लॉक दिखा रहा है:
जिस चरण पर संभावित हमला पहचान गया था, उसे निर्धारित करने के बाद, उस चरण पर पहचान के लिए नीचे दिए गए जांच कदमों का पालन करें।
यह अनुभाग सुनिश्चित करने के लिए एक दृष्टिकोण का वर्णन करता है कि अवरुद्ध वेबसाइट एक फ़िशिंग साइट है। जांच का यह हिस्सा मुख्य रूप से लक्ष्य पर केंद्रित है।
लक्ष्य अनुभाग आपको लक्ष्यों को सीखने के लिए जाँच करने देता है कि उनका संभावित इरादा क्या है और इस संभावना को कि लक्ष्य दुर्भावनापूर्ण हो सकता है:
-
Cato के दुर्भावनापूर्ण स्कोर का मूल्यांकन करें
-
Cato की लोकप्रियता की जांच करें
-
संबंधित Cato श्रेणियों पर विचार करें
-
लक्ष्य से जुड़े खतरे की खुफिया फ़ीड की संख्य़ा की समीक्षा करें
फ़िशिंग हमलों के लिए एक विशेष रूप से महत्वपूर्ण संकेतक डोमेन की निर्माण तिथि है। यदि तिथि हाल की है, तो यह अधिक संभावना है कि साइट दुर्भावनापूर्ण है।
बाहरी स्रोतों को खोजने के लिए लक्ष्य लिंक का उपयोग करना
अब तक, आपको इस कहानी में कब्जा की गई गतिविधि की अच्छी समझ होनी चाहिए, लक्ष्य लिंक आपको ऐतिहासिक संदर्भ और दुर्भावनापूर्ण व्यवहार के संकेतों के लिए प्रतिष्ठित स्रोतों पर बाहरी खोज करने में मदद करता है। इस डेटा को अन्य संस्थाओं के साथ कनेक्शन और ज्ञात खतरे वाले अभिनेताओं, अभियानों या तकनीकों के संभावित लिंक की पहचान करने के लिए संपर्क करें।
कहानी से संबंधित असंसाधित डेटा प्रवाह की जाँच करने के लिए हमले से संबंधित प्रवाह अनुभाग का उपयोग करें।
इन प्रवाहों से पूरक डेटा बिंदुओं का विश्लेषण करें, जिसमें URL, उपयोगकर्ता-एजेंट, फ़ाइल के नाम और अन्य प्रासंगिक विशेषताएँ शामिल हैं, और पिछली जांच चरण की खोजों की तुलना संभावित सहसंबंधों को प्रकट करने के लिए करें।
ज़्यादातर मामलों में जब फ़िशिंग साइट तक पहुँच अवरुद्ध होती है, इनमें कहानी का सही वर्गीकरण फ़िशिंग साइट पर ब्राउज़ करना होता है।
-
पीड़ित के साथ सत्यापित करें कि क्या हमला एक स्पीयर फ़िशिंग प्रयास था और उन्हें विशेष रूप से लक्षित किया गया था (एक निजी नाम, निजी जानकारी का उपयोग करके आदि)।
यदि नहीं, तो यह सुनिश्चित करें कि कोई अन्य कर्मचारी भी उसी फ़िशिंग अभियान का शिकार नहीं हुआ।
-
यदि फ़िशिंग प्रयास का स्रोत ईमेल-आधारित है और उपयोगकर्ता को ज्ञात है, तो अपने संगठनात्मक ईमेल प्लेटफ़ॉर्म का उपयोग करके स्रोत पता रिपोर्ट करें और ब्लॉक करें।
-
यदि फ़िशिंग प्रयास का स्रोत अज्ञात है, तो एक पूर्ण एंडपॉइंट सुरक्षा स्कैन (एंटी-वायरस, ईपीपी, ईडीआर, आदि) करें और संक्रमित मशीन से किसी भी अज्ञात प्रोग्राम और ब्राउज़र एक्सटेंशन को हटा दें।
यह अनुभाग बताता है कि किसी फ़िशिंग वेबसाइट पर क्रेडेंशियल सबमिट करने का प्रयास कैसे किया गया। जांच का यह हिस्सा मुख्य रूप से पहचाने गए लक्ष्य और यूआरएल पर ध्यान केंद्रित करता है।
लक्ष्य अनुभाग आपको लक्ष्यों को जानने के लिए जाँच करने देता है कि उनका संभावित इरादा और इस संभावना को कि लक्ष्य दुर्भावनापूर्ण हो सकता है:
-
Cato के दुर्भावनापूर्ण स्कोर का मूल्यांकन करें
-
Cato की लोकप्रियता की जांच करें
-
संबंधित Cato श्रेणियों पर विचार करें
-
लक्ष्य से जुड़े खतरे की खुफिया फ़ीड की संख्य़ा की समीक्षा करें
फ़िशिंग हमलों के लिए एक विशेष रूप से महत्वपूर्ण संकेतक डोमेन की निर्माण तिथि है। यदि तिथि हाल की है, तो यह अधिक संभावना है कि साइट दुर्भावनापूर्ण है।
बाहरी स्रोतों को खोजने के लिए लक्ष्य लिंक का उपयोग करना
अब तक, आपको इस कहानी में कब्जा की गई गतिविधि की अच्छी समझ होनी चाहिए, लक्ष्य लिंक आपको ऐतिहासिक संदर्भ और दुर्भावनापूर्ण व्यवहार के संकेतों के लिए प्रतिष्ठित स्रोतों पर बाहरी खोज करने में मदद करता है। इस डेटा को अन्य संस्थाओं के साथ कनेक्शन और ज्ञात खतरे वाले अभिनेताओं, अभियानों या तकनीकों के संभावित लिंक की पहचान करने के लिए संपर्क करें।
रेफरर की पहचान करना
फ़िशिंग हमलों में, सबसे पहले संवाद किया गया लक्ष्य अक्सर दुर्भावनापूर्ण साइट नहीं होता, बल्कि एक रेफरर साइट होता है, मतलब एक साइट जो दुर्भावनापूर्ण साइट के लिंक को शामिल करती है। रेफरर साइट हमले से संबंधित प्रवाह अनुभाग में रेफरर कॉलम दिखाई देती है।
डोमेन लुकअप के साथ रेफरर की जाँच करें
एक रेफरर की पहचान करने के बाद, आप डोमेन लुकअप का उपयोग करके डोमेन पर शोध कर सकते हैं। कम लोकप्रियता और उच्च दुर्भावनापूर्ण स्कोर एक दुर्भावनापूर्ण डोमेन को इंगित करता है।
कहानी से संबंधित असंसाधित डेटा प्रवाह की जाँच करने के लिए हमले से संबंधित प्रवाह अनुभाग का उपयोग करें।
इन प्रवाहों से पूरक डेटा बिंदुओं का विश्लेषण करें, जिसमें URL, उपयोगकर्ता-एजेंट, फ़ाइल के नाम और अन्य प्रासंगिक विशेषताएँ शामिल हैं, और पिछली जांच चरण की खोजों की तुलना संभावित सहसंबंधों को प्रकट करने के लिए करें।
जब किसी URL की जांच की जाती है, तो यह देखना महत्वपूर्ण है कि क्या इसमें कोई संवेदनशील डेटा है (ध्यान दें कि कई मामलों में URL एन्कोड होते हैं और सभी डेटा तक पहुंचने के लिए उन्हें डिकोड किया जाना चाहिए)। हम यह भी अनुशंसा करते हैं कि समान यूआरएल पैटर्न के लिए बाहरी टूल की जांच करें ताकि पहचाने गए ट्रैफ़िक में अधिक जानकारी प्राप्त हो सके।
नोट: जब कोई जाँच करता है, तो हम अनुशंसा करते हैं कि आप संदिग्ध फ़िशिंग संबंधित साइटों तक न पहुँचें।
ज़्यादातर मामलों में जब एक फ़िशिंग साइट पर क्रेडेंशियल सबमिशन अवरुद्ध होता है, कहानी का सही वर्गीकरण क्रेडेंशियल सबमिशन प्रयास होता है।
-
यदि संवेदनशील डेटा लीक हुआ है, तो सम्बंधित सेवाओं के पासवर्ड को बदल दें और सभी सेवाओं से एक सख्त लॉग-ऑफ का विचार करें।
-
सुनिश्चित करें कि कोई दुर्भावनापूर्ण फाइल डाउनलोड और निष्पादित नहीं हुई।
-
पीड़ित के साथ सत्यापित करें कि क्या हमला एक स्पीयर फ़िशिंग प्रयास था और उन्हें विशेष रूप से लक्षित किया गया था (एक निजी नाम, निजी जानकारी का उपयोग करके आदि)।
यदि नहीं, तो यह सुनिश्चित करें कि कोई अन्य कर्मचारी भी उसी फ़िशिंग अभियान का शिकार नहीं हुआ।
-
यदि फ़िशिंग प्रयास का स्रोत ईमेल-आधारित है और उपयोगकर्ता को ज्ञात है, तो अपने संगठनात्मक ईमेल प्लेटफ़ॉर्म का उपयोग करके स्रोत पता रिपोर्ट करें और ब्लॉक करें।
-
यदि फ़िशिंग प्रयास का स्रोत अज्ञात है, तो एक पूर्ण एंडपॉइंट सुरक्षा स्कैन (एंटी-वायरस, ईपीपी, ईडीआर, आदि) करें और संक्रमित मशीन से किसी भी अज्ञात प्रोग्राम और ब्राउज़र एक्सटेंशन को हटा दें।
यह अनुभाग बताता है कि किसी फ़िशिंग वेबसाइट पर क्रेडेंशियल का समर्पण कैसे हुआ। जांच का यह हिस्सा मुख्य रूप से पहचाने गए लक्ष्य और रेफरर पर ध्यान केंद्रित करता है (एक साइट जो दुर्भावनापूर्ण साइट के लिंक को शामिल करती है)।
लक्ष्य अनुभाग आपको लक्ष्यों को जानने के लिए जाँच करने देता है कि उनका संभावित इरादा और इस संभावना को कि लक्ष्य दुर्भावनापूर्ण हो सकता है:
-
Cato के दुर्भावनापूर्ण स्कोर का मूल्यांकन करें
-
Cato की लोकप्रियता की जांच करें
-
संबंधित Cato श्रेणियों पर विचार करें
-
लक्ष्य से जुड़े खतरे की खुफिया फ़ीड की संख्य़ा की समीक्षा करें
फ़िशिंग हमलों के लिए एक विशेष रूप से महत्वपूर्ण संकेतक डोमेन की निर्माण तिथि है। यदि तिथि हाल की है, तो यह अधिक संभावना है कि साइट दुर्भावनापूर्ण है।
बाहरी स्रोतों को खोजने के लिए लक्ष्य लिंक का उपयोग करना
अब तक, आपको इस कहानी में कब्जा की गई गतिविधि की अच्छी समझ होनी चाहिए, लक्ष्य लिंक आपको ऐतिहासिक संदर्भ और दुर्भावनापूर्ण व्यवहार के संकेतों के लिए प्रतिष्ठित स्रोतों पर बाहरी खोज करने में मदद करता है। इस डेटा को अन्य संस्थाओं के साथ कनेक्शन और ज्ञात खतरे वाले अभिनेताओं, अभियानों या तकनीकों के संभावित लिंक की पहचान करने के लिए संपर्क करें।
रेफरर की पहचान करना
फ़िशिंग हमलों में, सबसे पहले संवाद किया गया लक्ष्य अक्सर दुर्भावनापूर्ण साइट नहीं होता, बल्कि एक रेफरर साइट होता है, मतलब एक साइट जो दुर्भावनापूर्ण साइट के लिंक को शामिल करती है। रेफरर साइट हमले से संबंधित प्रवाह अनुभाग में रेफरर कॉलम दिखाई देती है।
डोमेन लुकअप के साथ रेफरर की जाँच करें
किसी रेफ़रर की पहचान करने के बाद, आप डोमेन लुकअप का उपयोग करके डोमेन पर शोध कर सकते हैं। कम लोकप्रियता और उच्च दुर्भावनापूर्ण स्कोर एक दुर्भावनापूर्ण डोमेन को इंगित करते हैं।
कहानी से संबंधित असंसाधित डेटा प्रवाह की जांच करने के लिए हमला संबंधित प्रवाह अनुभाग का उपयोग करें।
इन प्रवाहों से पूरक डेटा बिंदुओं का विश्लेषण करें, जिसमें URLs, उपयोगकर्ता-एजेंट्स, फ़ाइल नाम और अन्य प्रासंगिक विशेषताएँ शामिल हैं, और संभावित सहसंबंधों का पता लगाने के लिए उन्हें पिछले जांच चरण के निष्कर्षों से तुलना करें।
किसी यूआरएल की जांच करते समय, यह देखना महत्वपूर्ण है कि इसमें कोई संवेदनशील डेटा शामिल है या नहीं (ध्यान दें कि कई मामलों में यूआरएल एन्कोडेड होते हैं और उनमें शामिल सभी डेटा तक पहुंचने के लिए उन्हें डिकोड किया जाना आवश्यक होता है)। हम अनुशंसा करते हैं कि समान यूआरएल पैटर्न के लिए बाहरी टूल्स की भी जाँच करें ताकि पता चली ट्रैफ़िक के बारे में और अधिक जानकारी प्राप्त की जा सके।
नोट: जांच करते समय, हम अनुशंसा करते हैं कि आप संदिग्ध फ़िशिंग साइटों तक पहुँच न करें।
फ़िशिंग साइट पर क्रेडेंशियल्स सबमिशन की बाद की पहचान के अधिकांश मामलों के लिए, कहानी के लिए सही वर्गीकरण क्रेडेंशियल्स सबमिशन है।
-
यदि संवेदनशील डेटा लीक होता है, तो संबंधित सेवाओं का पासवर्ड बदलें और सभी सेवाओं से हार्ड लॉग-आउट शुरू करने पर विचार करें।
-
सुनिश्चित करें कि कोई दुर्भावनापूर्ण फ़ाइलें डाउनलोड और निष्पादित न हों।
-
पीड़ित से सत्यापित करें कि क्या हमला एक स्पीयर फ़िशिंग प्रयत्न था और क्या उनके लिए विशेष रूप से लक्षित किया गया था (निजी नाम, निजी जानकारी आदि का उपयोग करके)।
यदि नहीं, तो सुनिश्चित करें कि कोई अन्य कर्मचारी उसी फ़िशिंग अभियान के शिकार नहीं थे।
-
यदि फ़िशिंग प्रयास का स्रोत ईमेल-आधारित है और उपयोगकर्ता को ज्ञात है, तो अपने संगठनात्मक ईमेल प्लेटफ़ॉर्म का उपयोग करके स्रोत पता रिपोर्ट और ब्लॉक करके हमले को कम करें।
-
यदि फ़िशिंग प्रयास का स्रोत अज्ञात है, तो एक पूर्ण एंडपॉइंट सुरक्षा स्कैन (एंटी-वायरस, ईपीपी, ईडीआर, आदि) करें और संक्रमित मशीन से कोई भी अज्ञात प्रोग्राम और ब्राउज़र एक्सटेंशन हटा दें।
-
यदि पहचानी गई ट्रैफ़िक को ब्लॉक नहीं किया गया था, तो लक्ष्य को ब्लॉक करने के लिए इंटरनेट फ़ायरवॉल नियम बनाएँ।
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.