Threat Library

Phishing

Threat profileПрофиль угрозы

Phishing is a credential and trust theft operation. Attackers replicate trusted login, payment, support, or identity verification flows and force users to interact with fake domains. The modern variant is multi-stage: initial social text, redirect chain, brand-mimic page, and secondary exfiltration channel.Phishing — это операция по краже credentials и доверия. Атакующие копируют доверенные сценарии входа, оплаты, поддержки или identity verification и переводят пользователя на поддельные домены. Современная версия многоэтапна: социальный pretext, цепочка редиректов, страница-имитация бренда и вторичный канал эксфильтрации.

Primary detection signalsОсновные сигналы обнаружения

  • HOMOGRAPH: lookalike symbols and punycode domains (xn--) in high-trust contexts.HOMOGRAPH: похожие символы и punycode-домены (xn--) в высокодоверительных сценариях.
  • REDIRECT_MISMATCH: initial domain differs from final domain in redirect chain.REDIRECT_MISMATCH: стартовый домен не совпадает с финальным доменом в redirect-chain.
  • BRAND_IMPERSONATION: brand token present in domain path but not in official domain set.BRAND_IMPERSONATION: бренд присутствует в домене/пути, но не входит в официальный доменный список.
  • NEWLY_REGISTERED_INFRA / NEW_DOMAIN: young infrastructure used for rapid campaign rotation.NEWLY_REGISTERED_INFRA / NEW_DOMAIN: молодая инфраструктура для быстрой ротации кампании.
  • CONTACT_MISMATCH: fake phone/email/handle differs from official brand contacts.CONTACT_MISMATCH: поддельный телефон/email/handle не совпадает с официальными контактами бренда.
  • URGENCY_PRESSURE: coercive language forcing immediate click, payment, or OTP submission.URGENCY_PRESSURE: принуждение к немедленному клику, платежу или отправке OTP.

How SecuriLayer classifies phishingКак SecuriLayer классифицирует phishing

Decision flow combines deterministic rules, external feed matches, and weighted scoring. Any EXTERNAL_FEED_HIT or GOOGLE_SAFEBROWSING match results in immediate DANGER. Otherwise the engine calculates combined confidence from rule score and model probability, preserving explainability through reason codes in each Decision Contract.Decision flow сочетает детерминированные правила, совпадения с внешними фидами и weighted scoring. Любой EXTERNAL_FEED_HIT или GOOGLE_SAFEBROWSING match переводит вердикт в DANGER немедленно. В остальных случаях движок считает комбинированную уверенность из rule score и model probability, сохраняя explainability через reason codes в каждом Decision Contract.

Enterprise and government controlsКонтрмеры для enterprise и госсектора

  • DNS and browser policy: enforce deny-list for known malicious domains and suspicious TLDs.DNS и browser policy: применять deny-list для известных malicious-доменов и подозрительных TLD.
  • Identity workflow: prohibit credential reset by chat-only request, require verified portal path.Identity workflow: запретить reset credentials по запросу из чата, требовать вход через верифицированный путь портала.
  • Protected channels: route suspicious links to moderation queue before publication.Защищённые каналы: направлять подозрительные ссылки в moderation-очередь до публикации.
  • Audit continuity: keep reason code timeline and redirect evidence for legal and SOC review.Непрерывность аудита: хранить timeline reason codes и redirect-evidence для юридической и SOC-проверки.

Incident response playbookPlaybook реагирования

  • Immediate containment: invalidate potentially exposed credentials and active sessions.Немедленное containment: отозвать потенциально скомпрометированные credentials и активные сессии.
  • Domain triage: block final redirect domain and all observed chain pivots.Domain triage: блокировать финальный redirect-домен и все наблюдаемые pivot-домены цепочки.
  • User communication: distribute advisory with exact fake indicators and safe login path.Коммуникация пользователям: отправить advisory с точными индикаторами фейка и безопасным путём входа.
  • Post-incident tuning: adjust policy thresholds and strengthen brand-domain registry.Post-incident tuning: скорректировать policy-пороги и усилить реестр брендовых доменов.

False positive / false negative guidanceРекомендации по FP/FN

FP risk is higher for newly launched legitimate campaigns and temporary promo domains. FN risk rises when phishing pages are hosted on compromised trusted domains. Mitigate both with rapid feed refresh, internal allowlist governance, and periodic manual review of unresolved suspicious events.FP риск выше для новых легитимных кампаний и временных promo-доменов. FN риск растёт, когда фишинговые страницы размещаются на скомпрометированных доверенных доменах. Снижение обоих рисков достигается быстрым обновлением фидов, управлением внутренним allowlist и периодическим ручным разбором unresolved suspicious-событий.

FAQFAQ

Q: Is domain age enough for blocking?Достаточно ли возраста домена для блокировки?
A: No. Domain age is a contextual signal and should be combined with redirect behavior, brand mismatch, and content cues.Нет. Возраст домена — контекстный сигнал, его нужно комбинировать с поведением редиректов, mismatch бренда и контентными признаками.

Q: Why include external feeds?Зачем использовать внешние фиды?
A: They reduce time-to-block for active campaigns and improve recall for known infrastructure.Они сокращают time-to-block активных кампаний и повышают recall для известной инфраструктуры.

Activate phishing controls for your organizationАктивировать phishing-контроли для вашей организации