LetsDefend level 1 alert SOC101 - Phishing Mail Detected event-id 59
Details
EventID: 59
Event Time: Feb. 14, 2021, 3 a.m.
Rule: SOC101 - Phishing Mail Detected
Level: Security Analyst
SMTP Address 27.128.173.81
Source Address hahaha@ihackedyourcomputer.com
Destination Address mark@letsdefend.io
E-mail Subject I hacked your computer
Device Action Blocked
playbook
Parse Email
- When was it sent?
Feb. 14, 2021, 3 a.m. - What is the email's SMTP address?
27.128.173.81 - What is the sender address?
hahaha@ihackedyourcomputer.com - What is the recipient address?
mark@letsdefend.io
Are there attachments or URLs in the email?
Mailboxを確認すると、
I hacked your computer From: hahaha@ihackedyourcomputer.com hahaha@ihackedyourcomputer.com Feb. 14, 2021, 3 a.m. -> To: mark@letsdefend.io mark@letsdefend.io Feb. 14, 2021, 3 a.m. Ha ha ha I hacked your computer and got your personal files. I can ruin your life. You have 3 days to pay. If you don`t i will publish your files on the internet.
添付ファイルは無し。内容はとっても怪しい。
Answer: No
Add Artifacts
Value | Type | Comment |
---|---|---|
hahaha@ihackedyourcomputer.com | E-mail Sender | |
27.128.173.81 | IP Address | sender IP |
27.128.173.81
VirusTotal: https://www.virustotal.com/gui/ip-address/27.128.173.81
AbuseIPDB: https://www.abuseipdb.com/check/27.128.173.81
ip-sc: https://ip-sc.net/ja/r/27.128.173.81
中国のIPでSSHブルートフォースであったり攻撃元だと。
End
今回のアラートは「Phishing Mail Detected」で、メールの内容はハッキングを行ったという主張と支払いを促すものであった。phisingのメールは何者かになりすましてメールを送り罠に嵌めるものだと思っていたが、このようなメールもphisingメールになるということだろうか。自分は、Phishing Mailではないと考えたためFPを選択肢したが違うようだ。
Phishing - Wikipedia
改めて、Phisingを確認してみると、今回のアラートに関連する情報だけではそもそも実際にハッキングを受けたのかも分からない。ここで、実際にハッキングを行っていない状態で被害者を騙し支払いを促すというメールと考えるとphisingメールになるということだろうか。
そもそも今回のメールがPhishing Mailであるかではなく、FPかTPという点では怪しいメールであったのでTPとなっているかもしれない。