事件响应方法-钓鱼

来源：https://github.com/certsocietegenerale/IRM

一、准备

目的:建立联系，定义程序，收集信息以节省攻击时的时间。

■创建一个属于你公司的所有合法域名列表。这将有助于分析情况，并防止你开始删除一个遗忘合法网站的程序。

■在你的基础设施上准备一个网页，随时发布，提醒你的客户网络钓鱼攻击正在进行。还要准备和测试一个清晰的部署过程。

■准备删除电子邮件表格。如果可能的话，你会在各种语言的网络钓鱼案例中使用它们。这将加快事情，当试图到达托管公司等在删除过程中。

内部联系

■维护一份公司所有参与域名注册的人员名单。

■保留一份所有被授权对网络犯罪和网络钓鱼采取最终行动的人员名单。如果可能的话，在合同中写明你可以做决定。

外部联系

■有几种及时联系方式(可能的话，24/7):

-电子邮件地址，便于每个人记住(例如:security@yourcompany)

-公司网站上的网页表格(表格的位置很重要，离主页不超过2次点击)

-可见的Twitter帐户

■建立并维护删除联系人的列表:

——托管公司

——注册公司

——电子邮件提供商

■建立并保持与全球CERTs的联系，如果需要，他们可能总是能够提供帮助。

提高客户意识

不要等到网络钓鱼事件发生后才与客户沟通。提高对钓鱼诈骗的认识，解释什么是钓鱼，并确保你的客户知道你不会通过电子邮件或电话向他们索取证书或银行资料。

二、识别

目的:发现事件，确定其范围，并使适当的各方参与。

网络钓鱼检测

密切监控你所有的交易要点(电子邮件、网页表格等)

■部署垃圾邮件陷阱，并尝试收集来自合作伙伴/第三方的垃圾邮件。

■部署主动监控钓鱼知识库，比如AA419或PhishTank。

■监控你能访问到的任何专门邮件列表，或任何RSS/Twitter提要，这些可能报告钓鱼案件。

在所有这些来源上使用自动监测系统，这样每一次检测都会触发警报，以便即时反应。

■监控你的网络日志。检查有没有可疑的引荐人把人们带到你的网站。当用户被骗后，钓鱼网站会把他带到合法网站，这种情况经常发生。

涉及适当的部分

一旦发现钓鱼网站，请联系公司中有资格做出决定的人(如果你没有资格的话)。

对欺诈性网站采取行动的决定

收集证据

制作一个带有时间戳的钓鱼网页副本。使用一个有效的工具来实现这一点，例如HTT机架。不要忘记记下钓鱼计划的每一页，如果有几页，不要只记下第一个。如果需要，可以对页面进行截屏。

三、遏制

目的:减轻攻击对目标环境的影响。

■传播攻击URL，以防出现钓鱼网站。

使用你所能使用的每一种方式在每一个网络浏览器上散布欺诈的URL:使用Internet Explorer, Chrome, Safari, Firefox, Net craft工具栏，网络钓鱼倡议等选项。

将阻止用户在修复阶段访问网站。

■在垃圾邮件举报网站/合作伙伴上传播欺诈性电子邮件内容。

■与客户沟通。

部署带有当前钓鱼攻击信息的警告/警告页面。

如果你每周受到一定的影响，不要总是发布警告或警告信息，而应该发布信息丰富的钓鱼网页来提高警惕。

■检查钓鱼网站的源代码。

-看看数据被导出到哪里:或者是你不能访问的其他网页内容(通常是PHP脚本)，或者是通过电子邮件发送给骗子。

-观看网页钓鱼是如何建立的。这些图片是来自您的合法网站，还是存储在本地?

如有可能，如果图片来自你自己的网站，你可以更改图片，在骗子的网页上显示“钓鱼网站”的标志。

四、修复

目的:采取措施制止欺诈行为。

■如果欺诈性钓鱼页面位于一个受损的网站上，请尝试联系该网站的所有者。向所有者清楚地解释欺诈行为，以便他采取适当的行动:删除欺诈内容，并且最重要的是升级其安全性，以便欺诈者不能再使用相同的漏洞返回。

■无论如何，也要联系网站的托管公司。发送电子邮件到托管公司的联系地址(通常是abuse@hostingcompany)，然后试着和某人打电话，以加快速度。

■联系电子邮件托管公司，关闭接收窃取的凭据或信用卡信息的欺诈账户(在“仅限电子邮件”的网络钓鱼情况下，或者在通常的情况下，如果你设法获得了目的地电子邮件地址)。

■如果有重定向(邮件中包含的链接通常指向重定向URL)，也可以联系负责该服务的公司，撤销重定向。

如果你没有得到回复，或者没有采取任何行动，不要犹豫，定期回电话和发电子邮件，比如每两个小时。

■如果删除速度太慢，请联系相关国家的当地CERT，这可能有助于清除欺诈。

五、恢复

目的:恢复以前的功能状态。

评估钓鱼案例的结束

■确保关闭欺诈页面和/或电子邮件地址。

■继续监视欺诈性URL。钓鱼网站有时会在几个小时后重新出现。如果使用了重定向而没有关闭，请密切监视它。

■在钓鱼活动结束时，从你的网站上删除相关的警告页面。

六、以后

目标:记录事件细节，讨论经验教训，调整计划和防御措施。

■考虑你本可以采取哪些准备步骤来更快或更有效地应对该事件。

■更新你的联系人列表，并添加注释，说明联系相关各方的最有效方式。

■考虑组织内部和外部的哪些关系可以帮助你应对未来的事件。

■如果需要采取法律行动，与法律团队合作。