红色团队的自动化,因为企业明智地将网络网络钓鱼威胁
自动化大规模短信的框架网络钓鱼在今年的Black Hat Europe上展示了包括SMS跟踪,Webbeplay体育能用吗有效载荷和证书收获在内的广告系列。
安全研究员塞缪尔·普阿(Samuel Pua)在他的演讲之前说,贴纸是一个适合“寻求开展网络钓鱼运动的新型方式”的框架。阿森纳轨道。
虽然电子邮件网络钓鱼仍在创造妥协的初始途径,但攻击向量的熟悉程度开始培养组织国防基础设施中的能力。
“在更成熟的组织中,人员,流程和技术已经成熟以处理电子邮件网络钓鱼。”每日swbeplay2018官网ig。
“这意味着电子邮件网络钓鱼活动的投资回报率较低,因为需要额外的努力来规避这些预防措施。”
SMS网络钓鱼或“打smishing”为攻击者提供了进入企业世界较少受监控的Underbelly:智能手机的道路。
PUA承认移动网络钓鱼有其“自身限制”,认为这可能是红色团队参与的“可行替代方案”。
他说:“借助适当的字母数字发件人ID,SMS网络钓鱼可以是令人信服的社会工程工具。”
因此,不幸的是,根据PUA,37个国家不支持字母数字发送者ID,以帮助减少SMS网络钓鱼场景的可能性。
刮擦表面
PUA建议,可以通过其他模板和更多的流程自动化来改进磁带框架,以简化设置并使“场景和仿真更现实”。
他说:“真正有抱负的进攻团队可能会自动化这一框架作为现有工作流程的一部分。”
PUA说,贴纸团队目前正在努力如何进一步自动化广告系列的设置,而无需限制笔测试人员的工作。
他指出,“红色团队的参与往往是非常定制的”,他说任何自动化都不能限制攻击者的范围。
PUA说,Tapit开发人员计划添加模板数据和更多SMS服务提供商。Git Repo也在管道中。
随着SMS网络钓鱼预计会在攻击者中受欢迎程度,PUA认为红色团队者“没有尽可能多地利用它”。
他说。
