Offensive Scenario — Δικηγορική εταιρεία. Μια δικηγορική εταιρεία είναι
θεματοφύλακας άκρως εμπιστευτικών εγγράφων: συμβάσεις, εξαγορές, δικαστικές
στρατηγικές, προσωπικά δεδομένα. Συνδυασμός στοχευμένου phishing, OAuth consent και
exfiltration εγγράφων
μπορεί να οδηγήσει σε Business Email Compromise και διαρροή υποθέσεων.
Το ερώτημα για τη διοίκηση: θα βλέπατε μια μαζική εξαγωγή εγγράφων ή έναν κρυφό κανόνα inbox;

Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.

Executive Summary

Το σενάριο αναπαράγει ελεγχόμενα μια διαρροή εμπιστευτικών εγγράφων και BEC σε δικηγορική
εταιρεία
: phishing προς εταίρους, OAuth consent σε third-party app, πρόσβαση mailbox,
κρυφοί κανόνες και μαζική εξαγωγή εγγράφων με ανενεργό DLP. Η Audax εργάζεται εντός εξουσιοδοτημένου
scope και αποδεικνύει το μονοπάτι και το κενό ανίχνευσης.

Το επιχειρησιακό ρίσκο

Η διαρροή υποθέσεων πλήττει το θεμέλιο του επαγγέλματος: το απόρρητο εντολέα-δικηγόρου.
Σημαίνει νομική ευθύνη, πειθαρχικές συνέπειες, απώλεια εντολέων, ζημιά σε συμφωνίες υπό
διαπραγμάτευση, εκβιασμό, και έκθεση GDPR. Μια απάτη BEC (π.χ. παρέμβαση σε πληρωμή client escrow)
προσθέτει άμεση οικονομική ζημιά.

Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης

  1. Phishing (T1566): στοχευμένο μήνυμα προς εταίρο/δικηγόρο (ελεγχόμενο).
  2. Steal Access Token (T1528): OAuth consent σε third-party app — πρόσβαση χωρίς
    κωδικό/MFA prompt.
  3. Email Collection / Hiding Rules (T1114/T1564.008): ανάγνωση αλληλογραφίας και
    κρυφοί κανόνες (BEC).
  4. Exfiltration (T1567): μαζική εξαγωγή εγγράφων μέσω cloud — με ανενεργό DLP.
Kali Linux που εκτελεί ελεγχόμενη προσομοίωση και εντοπίζει OAuth consent σε third-party εφαρμογή με δικαιώματα ανάγνωσης αλληλογραφίας και έναν κρυφό κανόνα inbox που μετακινεί μηνύματα με θέμα invoice, κλασικό σημάδι BEC.
OAuth consent σε third-party app με Mail.Read και κρυφός inbox rule για μηνύματα invoice: τα δύο κλασικά σημάδια Business Email Compromise σε δικηγορική εταιρεία.

Η εξαγωγή είναι το αποκορύφωμα — και ακριβώς εκεί λείπει η ανίχνευση:

Windows PowerShell που δείχνει μαζική λήψη χιλιάδων εμπιστευτικών εγγράφων από τον λογαριασμό ενός εταίρου και ότι ο κανόνας DLP για νομικά έγγραφα είναι απενεργοποιημένος.
Μαζικό download 1842 εμπιστευτικών εγγράφων και απενεργοποιημένος DLP κανόνας για νομικά αρχεία: η εξαγωγή περνά χωρίς καμία ειδοποίηση.

Τι δοκιμάζει η Audax ελεγχόμενα

Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR

  • OAuth consent σε νέες/third-party εφαρμογές με δικαιώματα mail/files·
  • δημιουργία κρυφών inbox rules (forward/delete invoice)·
  • μαζικά downloads από SharePoint/OneDrive (case files)·
  • είσοδο από νέες IP/χώρες (impossible travel) σε λογαριασμούς εταίρων·
  • DLP signals για νομικά έγγραφα και ο χρόνος μέχρι το alert.
Τακτική (Tactic)ATT&CK IDΤεχνικήΤι σημαίνει στο σενάριο
Initial AccessT1566PhishingΣτόχευση εταίρων/δικηγόρων με ελεγχόμενο phishing.
Credential/TokenT1528Steal Application Access TokenOAuth consent σε third-party app.
CollectionT1114Email CollectionΠρόσβαση/συλλογή αλληλογραφίας mailbox.
Defense EvasionT1564.008Email Hiding RulesΚρυφοί inbox rules (σημάδι BEC).
ExfiltrationT1567Exfiltration Over Web ServiceΜαζική εξαγωγή εγγράφων μέσω cloud.
MITRE ATT&CK mapping του σεναρίου (ελεγχόμενη προσομοίωση).

Τι τεχνική απόδειξη παράγεται

Επικυρωμένο μονοπάτι από phishing/consent έως πρόσβαση mailbox και εξαγωγή εγγράφων (anonymized),
ευρήματα κρυφών κανόνων και ανενεργού DLP, τα σημεία όπου η ανίχνευση έπρεπε να ενεργοποιηθεί και
αντιστοίχιση με business/legal impact. Ενδεικτικοί δείκτες:

ΤύποςΈνδειξη (anonymized)Πλαίσιο ανίχνευσης
IdentityOAuth consent 'Mail Reader'Third-party app με Mail.Read/ReadWrite.
Ruleinbox rule 'invoice'->DeletedΚρυφός κανόνας, σημάδι BEC.
Behavior1842 file downloads / 3dΜαζική εξαγωγή confidential εγγράφων.
Account[email protected]Στοχευμένος λογαριασμός εταίρου.
GapDLP 'Legal-Confidential' offΕξαγωγή νομικών εγγράφων χωρίς alert.
Ενδεικτικοί δείκτες (IOCs) προς ανίχνευση. Όλες οι τιμές είναι ανωνυμοποιημένες εργαστηριακές αναφορές.

Τι παραδίδεται στη διοίκηση

Executive risk summary με έμφαση στο απόρρητο εντολέα και τη φήμη, ιεραρχημένο remediation roadmap
(consent governance, conditional access/MFA, DLP για νομικά έγγραφα, awareness εταίρων), παρατηρήσεις
ωριμότητας ανίχνευσης, συσχέτιση με GDPR/NIS2, και πλάνο retesting.

Πώς μειώνεται ο κίνδυνος

  • περιορισμός/έγκριση OAuth app consent (admin consent workflow)·
  • conditional access, MFA ανθεκτικό σε phishing, μπλοκάρισμα legacy auth·
  • ενεργό DLP για εμπιστευτικά/νομικά έγγραφα και labeling·
  • alerting σε inbox rules, consent grants και μαζικές λήψεις·
  • social engineering testing και awareness, με retesting.

Κλείστε Offensive Assessment

Θέλετε να μάθετε αν η άμυνά σας μπορεί να ανιχνεύσει, να καθυστερήσει και να σταματήσει ένα αντίστοιχο σενάριο; Η Audax μπορεί να το δοκιμάσει ελεγχόμενα, τεκμηριωμένα και με καθαρό πλάνο διορθωτικών ενεργειών — από τα αρχικά σημεία εισόδου έως την κρίσιμη επίπτωση, με πλήρη τεχνική απόδειξη και executive report.

Κλείστε Offensive Assessment →

Θέλετε να επικυρώσετε την ασφάλειά σας στην πράξη;

Η Audax αποδεικνύει το ρίσκο με πραγματικά σενάρια επίθεσης — όχι απλώς λίστες ελέγχου.

Ζητήστε δωρεάν αξιολόγηση →