Offensive Scenario — Δημόσιος τομέας. Σε έναν δημόσιο φορέα, το mailbox ενός
στελέχους είναι αρχείο αποφάσεων, εγγράφων και επαφών. Ένα executive email compromise σε
δημόσιο φορέα δεν χρειάζεται malware: αρκεί ένα στοχευμένο phishing, ένα legacy endpoint
χωρίς MFA και ένας κρυφός κανόνας προώθησης για να γίνει σιωπηλή διαρροή δεδομένων.
Σημείωση: το παρακάτω σενάριο παρουσιάζεται σε υψηλό, υπεύθυνο επίπεδο. Δεν περιλαμβάνει λειτουργικά payloads ή copy-paste βήματα εκμετάλλευσης. Όλα τα ονόματα, IP, domains και χρήστες είναι ανωνυμοποιημένα εργαστηριακά παραδείγματα (π.χ. contoso.local, 10.10.x.x, CORP-DC01) και αντιστοιχούν σε πραγματικά μοτίβα που έχει συναντήσει η Audax σε ελεγχόμενα έργα υπό NDA.
Executive Summary
Το σενάριο δείχνει πώς ένα executive email compromise σε δημόσιο φορέα μπορεί
να εξελιχθεί από OSINT και στοχευμένο phishing σε email collection και ελεγχόμενη προσομοίωση
exfiltration. Η Audax το αναπαράγει χωρίς πρόσβαση σε πραγματικά ευαίσθητα έγγραφα, για να
επικυρώσει τις ανιχνεύσεις γύρω από identity και email.
Το επιχειρησιακό ρίσκο
Διαρροή αλληλογραφίας ηγεσίας σημαίνει έκθεση ευαίσθητων αποφάσεων, προσωπικών δεδομένων
πολιτών (GDPR), κίνδυνο εκβιασμού/απάτης (BEC), πλήγμα εμπιστοσύνης και υποχρεώσεις
NIS2 για φορείς δημόσιας διοίκησης. Σε δημόσιο φορέα, η εμπιστοσύνη είναι θεσμική.
Πώς θα μπορούσε να εξελιχθεί ένα αντίστοιχο σενάριο επίθεσης
- Resource Development / OSINT (T1586): χαρτογράφηση στελεχών και εκτεθειμένων
endpoints. - Phishing (T1566): στοχευμένο email προς στέλεχος, εκμετάλλευση legacy
authentication χωρίς MFA. - Email Collection (T1114): πρόσβαση στο mailbox, αναζήτηση/συλλογή· κρυφοί
inbox rules. - Exfiltration (T1567): ελεγχόμενη προσομοίωση διαρροής — το κρίσιμο σημείο.
Μετά την πρόσβαση, η πιο επικίνδυνη τεχνική persistence είναι οι κρυφοί κανόνες mailbox:
Τι δοκιμάζει η Audax ελεγχόμενα
- AI phishing simulations και
red team social engineering προς επιλεγμένα στελέχη, με metrics. - Cloud security assessment: M365/Exchange Online
configuration, legacy auth, conditional access, inbox rules. - Attack-path validation έως το σημείο exfiltration,
με προσομοιωμένα (όχι πραγματικά) δεδομένα. - SOC/SIEM/EDR validation για ανίχνευση BEC.
Τι πρέπει να ανιχνεύσει το SOC, το SIEM και το EDR
- logins χωρίς MFA / legacy authentication, impossible travel·
- δημιουργία inbox rules με auto-forward/delete·
- μαζική αναζήτηση/πρόσβαση mailbox (email collection)·
- outbound προς εξωτερικές υπηρεσίες (exfiltration)·
- συσχέτιση identity + mail + DLP telemetry.
| Τακτική (Tactic) | ATT&CK ID | Τεχνική | Τι σημαίνει στο σενάριο |
|---|---|---|---|
| Resource Development | T1586 | Compromise Accounts | Προετοιμασία/χρήση λογαριασμών για στοχευμένο phishing. |
| Initial Access | T1566 | Phishing | Στοχευμένο email προς στέλεχος (executive). |
| Collection | T1114 | Email Collection | Πρόσβαση σε mailbox στελέχους, κανόνες auto-forward. |
| Exfiltration | T1567 | Exfiltration Over Web Service | Διαρροή δεδομένων μέσω εξωτερικής υπηρεσίας. |
| Persistence | T1137 | Office Application Startup / Rules | Κρυφοί inbox rules για διαρκή πρόσβαση. |
Τι τεχνική απόδειξη παράγεται
Επικυρωμένη αλυσίδα από phishing έως προσομοιωμένη exfiltration, αποδείξεις (ανωνυμοποιημένες)
πρόσβασης και κανόνων, detection gaps σε identity/mail, risk rating και business impact mapping.
Ενδεικτικοί δείκτες:
| Τύπος | Ένδειξη (anonymized) | Πλαίσιο ανίχνευσης |
|---|---|---|
| Account | [email protected] |
Στόχος executive compromise (χωρίς MFA). |
| Mailbox rule | auto-forward -> ext-archive@… |
Κρυφή προώθηση + διαγραφή (exfil). |
| Auth | Legacy OWA login χωρίς MFA |
Bypass σύγχρονων ελέγχων. |
| Behavior | Bulk message read/search |
Email collection signature. |
| Exfil | Outbound σε web service |
Πιθανή διαρροή ευαίσθητων εγγράφων. |
Τι παραδίδεται στη διοίκηση
Executive summary με εστίαση σε θεσμική εμπιστοσύνη/GDPR, remediation roadmap (MFA, κατάργηση
legacy auth, conditional access, mailbox rule monitoring), παρατηρήσεις ανίχνευσης, σύνδεση με
NIS2, και πλάνο retesting.
Πώς μειώνεται ο κίνδυνος
- υποχρεωτικό MFA, κατάργηση legacy authentication, conditional access·
- monitoring/alerting σε inbox rules (auto-forward/delete)·
- DLP για ευαίσθητα έγγραφα, security awareness στη διοίκηση·
- purple teaming για επικύρωση BEC detections·
- retesting μετά τις διορθώσεις.
Συχνές ερωτήσεις
Γιατί οι δημόσιοι φορείς είναι ελκυστικός στόχος για Business Email Compromise;
Τα οργανογράμματα, τα email και οι αρμοδιότητες είναι δημόσια διαθέσιμα, οι ροές πληρωμών και προμηθειών είναι προβλέψιμες, και η ιεραρχική κουλτούρα διευκολύνει την εκτέλεση «εντολών προϊσταμένου» χωρίς δεύτερο έλεγχο. Ο αντίπαλος δεν χρειάζεται κακόβουλο λογισμικό — του αρκεί ένα πειστικό email.
Αρκεί η εκπαίδευση του προσωπικού για να αντιμετωπιστεί το BEC;
Είναι απαραίτητη, αλλά όχι αρκετή. Χρειάζεται και τεχνική επικύρωση: λειτουργούν τα email security controls; Επιβάλλεται παντού MFA; Ανιχνεύεται η ύποπτη πρόσβαση σε θυρίδες και η εξαγωγή δεδομένων; Το σενάριο ελέγχει ακριβώς αυτά τα σημεία στην πράξη.
Πώς προστατεύονται τα δεδομένα πολιτών κατά τη διάρκεια του assessment;
Ο έλεγχος εκτελείται με κανόνες εμπλοκής και χωρίς πραγματική εξαγωγή ευαίσθητων δεδομένων — χρησιμοποιούνται ελεγχόμενα δείγματα και τεχνητά αρχεία-δείκτες που αποδεικνύουν τη δυνατότητα χωρίς να εκτεθεί κανένα πραγματικό στοιχείο. Όλα καλύπτονται από συμφωνία εμπιστευτικότητας.
Τι προβλέπει η NIS2 για τη δημόσια διοίκηση;
Η δημόσια διοίκηση εντάσσεται ρητά στο πεδίο εφαρμογής της NIS2, με απαιτήσεις διαχείρισης κινδύνου, αναφοράς περιστατικών και ευθύνης της διοίκησης. Ένα τεκμηριωμένο assessment παρέχει την τεχνική απόδειξη ετοιμότητας που ζητείται.
Κλείστε Offensive Assessment
Θέλετε να μάθετε αν η άμυνά σας μπορεί να ανιχνεύσει, να καθυστερήσει και να σταματήσει ένα αντίστοιχο σενάριο; Η Audax μπορεί να το δοκιμάσει ελεγχόμενα, τεκμηριωμένα και με καθαρό πλάνο διορθωτικών ενεργειών — από τα αρχικά σημεία εισόδου έως την κρίσιμη επίπτωση, με πλήρη τεχνική απόδειξη και executive report.