Cybersécurité Pratique

Détection des messages d’ingénierie sociale

by  • 

Détection des messages d’ingénierie sociale | ASD/ACSC — Marc-Frédéric Gomez
Marc-Frédéric Gomez

Détection des messages d’ingénierie sociale
ASD/ACSC — Guide technique enrichi CISO · CERT · SOC

Source : Australian Signals Directorate — Australian Cyber Security Centre  |  Publié le 15 avril 2026
🇫🇷 Version française
Date : 15 avril 2026 • Source : ASD/ACSC — Australian Cyber Security Centre • Type : Guide de détection — Ingénierie sociale • Niveau : CISO · CERT · SOC • TLP : CLEAR

Synthèse exécutive

L’ASD/ACSC publie une guidance structurée sur la détection des messages d’ingénierie sociale, couvrant le vecteur email, SMS, messagerie instantanée et plateformes de réseaux sociaux. Cette publication s’inscrit dans le cadre de la série Email Hardening de l’ACSC et constitue un référentiel de détection comportemental et technique applicable aux équipes CERT/CSIRT, SOC et aux RSSI dans leur stratégie de sécurisation des canaux de communication.

Contexte de menace 2025–2026 : Le rapport Verizon DBIR 2025 établit que le Business Email Compromise (BEC) représente entre 17 et 22 % de l’ensemble des incidents d’ingénierie sociale. Le BEC continue de constituer le vecteur d’incident le plus fréquent, avec 75 % des cas impliquant du session hijacking pour contourner le MFA — une progression de 38,5 % en 2023 à 75 % en 2024.

Taxonomie des messages d’ingénierie sociale

TypeCanalObjectif principalSophistication
PhishingEmailCollecte de credentials, malwareMoyenne
Spear PhishingEmailCiblage individuel post-OSINTÉlevée
WhalingEmailCompromission d’exécutifs C-levelCritique
SmishingSMSRedirection vers site frauduleuxMoyenne
VishingVoix / IMUsurpation support IT / banqueÉlevée
BECEmailFraude financière, exfiltrationCritique
Social Media LureLinkedIn, X, TelegramRecrutement espionnage / APTCritique

Mapping MITRE ATT&CK

TechniqueID ATT&CKDescription
Spearphishing AttachmentT1566.001Pièce jointe malveillante ciblée
Spearphishing LinkT1566.002Lien vers site frauduleux
Spearphishing via ServiceT1566.003Via messagerie sociale / Teams / Slack
Spearphishing VoiceT1566.004Vishing / deepfake audio
Phishing for InfoT1598Collecte de credentials
Internal SpearphishingT1534Post-compromission depuis compte interne
OSINT / Gather Victim IdentityT1589Reconnaissance préalable via réseaux sociaux

Indicateurs comportementaux — Analyse SOC

L’ACSC identifie des marqueurs comportementaux communs à l’ensemble des vecteurs d’ingénierie sociale. Les analystes SOC doivent intégrer ces indicateurs dans leurs playbooks d’investigation :

Indicateurs de niveau 1 — Détection gateway email

  • Échec SPF (Sender Policy Framework) — domaine expéditeur non autorisé
  • Échec DKIM — signature cryptographique invalide ou absente
  • Politique DMARC p=reject ou p=quarantine non respectée
  • Domaine enregistré récemment (< 30 jours) — corrélation Whois
  • Typosquatting : micr0soft.com, bankk-secure.com
  • Discordance entre From: affiché et Return-Path: ou Reply-To:
  • Header X-Mailer inhabituel ou absent
  • TLS absent sur la connexion SMTP entrante

Indicateurs de niveau 2 — Analyse comportementale

  • Sentiment d’urgence artificielle : « urgent », « action requise sous 24h »
  • Invocation d’autorité : PDG, DG, cabinet d’audit, forces de l’ordre
  • Demande atypique sans canal de vérification secondaire
  • Lien vers domaine différent du domaine légitime (redirect chain)
  • Pièce jointe inhabituelle : ISO, LNK, OneNote, SVG, HTML
  • Personnalisation excessive (spear phishing) : prénom, poste, projet en cours
  • Demande de confidentialité / instruction de ne pas informer d’autres personnes

Règle de détection Sigma — SPF/DKIM/DMARC Failure

title: Email Authentication Failure — Potential Phishing
id: ae4f2b3c-1a9e-4d7e-b3c2-9f1e2a3b4c5d
status: stable
description: |
    Détecte les emails en échec d'authentification SPF, DKIM ou DMARC
    pouvant indiquer une tentative de spoofing ou de phishing.
logsource:
    category: email
    product: office365
detection:
    selection:
        spf_result: 'fail'
        dkim_result: 'fail'
        dmarc_result|contains:
            - 'fail'
            - 'reject'
            - 'quarantine'
    condition: selection
falsepositives:
    - Serveurs de relais mal configurés
    - Envoi via ESP tiers sans alignement DMARC
level: medium
tags:
    - attack.initial_access
    - attack.t1566.002

Contrôles techniques — Niveau CERT/CSIRT

Authentification email : SPF · DKIM · DMARC

Exigence 2026 : Microsoft (Outlook), Google et Yahoo imposent depuis 2024–2025 la conformité SPF + DKIM + DMARC (p=none minimum) pour les expéditeurs de plus de 5 000 emails/jour. DORA, PCI DSS 4.0 et NIS2 intègrent ces contrôles dans leurs exigences de sécurité des communications.
ProtocoleRôleLimitationPriorité déploiement
SPFAutorise les IP de messagerie pour un domaine DNSLimite à 10 lookups DNS — risque PermErrorP1
DKIMSignature cryptographique du messageNe protège pas l’en-tête From visibleP1
DMARCPolitique d’action sur échec SPF/DKIM + alignementNécessite SPF et DKIM opérationnelsP1
BIMIAffichage logo marque en boîte mailNécessite p=quarantine ou p=rejectP2
MTA-STS / TLS-RPTChiffrement TLS forcé entre serveurs emailDéploiement via DNS + HTTPSP2

Mesures organisationnelles — Usage des réseaux sociaux et messageries

L’ACSC souligne que les services de messagerie et réseaux sociaux (Facebook, Instagram, LinkedIn, Telegram, TikTok, WhatsApp et autres) collectent des données extensives, incluant des métadonnées au-delà du contenu des messages. Ces données peuvent être stockées hors de la juridiction nationale et soumises à des accès légaux étrangers.

  • Ne jamais partager credentials, codes d’enregistrement ou de vérification, y compris avec des comptes se présentant comme support éditeur
  • Activer le MFA sur tous les comptes de réseaux sociaux professionnels
  • Segmenter email professionnel et email d’inscription aux services sociaux
  • Appliquer des profils privés et la suppression automatique des messages
  • Supprimer les métadonnées GPS des photos avant publication
  • Restreindre les permissions des applications mobiles (caméra, localisation, contacts)
  • Mettre à jour les applications régulièrement — les paramètres de sécurité peuvent changer lors des mises à jour

Posture CISO — Gouvernance et recommandations stratégiques

Au niveau direction, l’ingénierie sociale représente le vecteur d’entrée initial le plus fréquent dans les incidents de compromission. La résilience organisationnelle face à ce risque repose sur quatre piliers :

PilierActions prioritairesRéférentiels applicables
Sensibilisation Simulations de phishing, formation annuelle obligatoire, exercices de crise BEC NIS2 Art.21, ISO 27001 A.6.3
Politique d’accès Révoquer immédiatement les accès aux comptes sociaux professionnels en fin de mission, appliquer le principe de moindre privilège CIS Control 6, Essential Eight
Contrôles techniques Déploiement SPF/DKIM/DMARC p=reject, sandbox pièces jointes, filtrage URL, MFA phishing-resistant (FIDO2) ACSC Essential Eight ML2, PCI DSS 4.0
Réponse aux incidents Playbook BEC documenté, procédure de reprise de compte compromis, canal de signalement interne NIST CSF 2.0, RFC 2350
Sources
  1. ASD/ACSC — Detecting Socially Engineered Messages : https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/email-hardening/detecting-socially-engineered-messages
  2. ASD/ACSC — Security Tips for Social Media and Messaging Apps : https://www.cyber.gov.au/resources-business-and-government/governance-and-user-education/user-education/security-tips-social-media-and-messaging-apps
  3. ASD/ACSC — Email Hardening : https://www.cyber.gov.au/business-government/protecting-devices-systems/hardening-systems-applications/email-hardening
  4. Verizon — 2025 Data Breach Investigations Report : https://www.verizon.com/business/resources/reports/dbir/
  5. MITRE ATT&CK — Phishing T1566 : https://attack.mitre.org/techniques/T1566/
🇬🇧 English version
Date: 15 April 2026 • Source: ASD/ACSC — Australian Cyber Security Centre • Type: Detection Guidance — Social Engineering • Level: CISO · CERT · SOC • TLP: CLEAR

Executive Summary

The Australian Signals Directorate’s Australian Cyber Security Centre (ASD/ACSC) has published structured guidance on detecting socially engineered messages across email, SMS, instant messaging, and social media channels. This publication forms part of the ACSC’s Email Hardening series and provides a behavioural and technical detection framework applicable to CERT/CSIRT teams, SOC analysts, and CISOs developing their communications security strategy.

2025–2026 Threat Context: The Verizon 2025 DBIR reports that Business Email Compromise (BEC) accounts for 17–22% of all social engineering incidents. BEC remains the most common incident type responded to, with 75% of cases involving session hijacking to bypass MFA — up from 38.5% in 2023.

Taxonomy of Socially Engineered Messages

TypeVectorPrimary ObjectiveSophistication
PhishingEmailCredential harvesting, malware deliveryMedium
Spear PhishingEmailTargeted individual post-OSINT reconHigh
WhalingEmailC-level executive compromiseCritical
SmishingSMSRedirect to fraudulent siteMedium
VishingVoice / IMIT helpdesk / bank impersonationHigh
BECEmailFinancial fraud, data exfiltrationCritical
Social Media LureLinkedIn, X, TelegramEspionage recruitment / APT accessCritical

MITRE ATT&CK Mapping

TechniqueATT&CK IDDescription
Spearphishing AttachmentT1566.001Targeted malicious attachment delivery
Spearphishing LinkT1566.002Link to fraudulent/credential-harvesting site
Spearphishing via ServiceT1566.003Via social messaging / Teams / Slack
Spearphishing VoiceT1566.004Vishing / deepfake audio
Phishing for InformationT1598Credential and sensitive data collection
Internal SpearphishingT1534Post-compromise from internal account
Gather Victim IdentityT1589OSINT reconnaissance via social networks

Behavioural Indicators — SOC Analysis

The ACSC identifies common behavioural markers across all social engineering vectors. SOC analysts should integrate these indicators into their investigation playbooks:

Level 1 Indicators — Email Gateway Detection

  • SPF failure — sending domain not authorised
  • DKIM failure — cryptographic signature invalid or absent
  • DMARC policy p=reject or p=quarantine not honoured
  • Recently registered domain (< 30 days) — Whois correlation
  • Typosquatting: micr0soft.com, bankk-secure.com
  • Mismatch between displayed From: and Return-Path: or Reply-To:
  • Unusual or absent X-Mailer header
  • TLS absent on inbound SMTP connection

Level 2 Indicators — Behavioural Analysis

  • Artificial urgency: « urgent », « action required within 24h »
  • Authority invocation: CEO, CFO, audit firm, law enforcement
  • Atypical request without secondary verification channel
  • Link to domain different from legitimate domain (redirect chain)
  • Unusual attachment: ISO, LNK, OneNote, SVG, HTML
  • Excessive personalisation (spear phishing): first name, position, current project
  • Confidentiality request / instruction not to inform others

Technical Controls — CERT/CSIRT Level

Email Authentication: SPF · DKIM · DMARC

2026 Requirement: Microsoft (Outlook), Google, and Yahoo have mandated SPF + DKIM + DMARC compliance (p=none minimum) for senders of 5,000+ emails/day since 2024–2025. DORA, PCI DSS 4.0, and NIS2 integrate these controls into their communications security requirements.
ProtocolRoleLimitationDeploy Priority
SPFAuthorises mail IPs for a DNS domain10 DNS lookup limit — PermError riskP1
DKIMCryptographic message signatureDoes not protect the visible From headerP1
DMARCPolicy enforcement on SPF/DKIM failure + alignmentRequires operational SPF and DKIMP1
BIMIBrand logo display in inboxRequires p=quarantine or p=rejectP2
MTA-STS / TLS-RPTForced TLS encryption between mail serversDNS + HTTPS deployment requiredP2

Social Media and Messaging Security

The ACSC notes that messaging and social media services (Facebook, Instagram, LinkedIn, Telegram, TikTok, WhatsApp and others) collect extensive data, including metadata beyond message content. This data may be stored outside national jurisdiction and subject to foreign legal access.

  • Never share credentials, registration codes, or verification codes — including with accounts claiming to be vendor support staff
  • Enable MFA on all professional social media accounts
  • Separate professional email from social service registration email
  • Apply private profiles and disappearing message settings where appropriate
  • Remove GPS metadata from photos before publishing
  • Restrict mobile app permissions (camera, location, contacts)
  • Update apps regularly — security settings may change with updates

CISO Posture — Strategic Governance

Social engineering remains the most frequent initial access vector in compromise incidents. Organisational resilience rests on four pillars:

PillarPriority ActionsApplicable Frameworks
AwarenessPhishing simulations, mandatory annual training, BEC crisis exercisesNIS2 Art.21, ISO 27001 A.6.3
Access PolicyImmediately revoke professional social account access at end of assignment; apply least privilegeCIS Control 6, Essential Eight
Technical ControlsSPF/DKIM/DMARC p=reject deployment, attachment sandbox, URL filtering, phishing-resistant MFA (FIDO2)ACSC Essential Eight ML2, PCI DSS 4.0
Incident ResponseDocumented BEC playbook, compromised account recovery procedure, internal reporting channelNIST CSF 2.0, RFC 2350
Sources
  1. ASD/ACSC — Detecting Socially Engineered Messages : https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/email-hardening/detecting-socially-engineered-messages
  2. ASD/ACSC — Security Tips for Social Media and Messaging Apps : https://www.cyber.gov.au/resources-business-and-government/governance-and-user-education/user-education/security-tips-social-media-and-messaging-apps
  3. ASD/ACSC — Email Hardening : https://www.cyber.gov.au/business-government/protecting-devices-systems/hardening-systems-applications/email-hardening
  4. Verizon — 2025 Data Breach Investigations Report : https://www.verizon.com/business/resources/reports/dbir/
  5. MITRE ATT&CK — Phishing T1566 : https://attack.mitre.org/techniques/T1566/
🇩🇪 Deutsche Version
Datum: 15. April 2026 • Quelle: ASD/ACSC — Australian Cyber Security Centre • Typ: Erkennungsleitfaden — Social Engineering • Ebene: CISO · CERT · SOC • TLP: CLEAR

Zusammenfassung

Das Australian Signals Directorate (ASD/ACSC) hat einen strukturierten Leitfaden zur Erkennung von Social-Engineering-Nachrichten veröffentlicht, der E-Mail, SMS, Instant Messaging und Social-Media-Kanäle abdeckt. Diese Publikation ist Teil der ACSC-Reihe Email Hardening und bietet CERT/CSIRT-Teams, SOC-Analysten und CISOs einen verhaltens- und technisch orientierten Erkennungsrahmen.

Bedrohungskontext 2025–2026: Der Verizon DBIR 2025 belegt, dass Business Email Compromise (BEC) zwischen 17 und 22 % aller Social-Engineering-Vorfälle ausmacht. In 75 % der BEC-Fälle wurde Session Hijacking eingesetzt, um MFA zu umgehen — ein Anstieg von 38,5 % im Jahr 2023.

Taxonomie Social-Engineering-Nachrichten

TypKanalHauptzielKomplexität
PhishingE-MailCredential-Diebstahl, Malware-VerteilungMittel
Spear PhishingE-MailGezielter Angriff nach OSINT-RechercheHoch
WhalingE-MailKompromittierung von C-Level-FührungskräftenKritisch
SmishingSMSWeiterleitung zu betrügerischen WebsitesMittel
VishingTelefon / IMIT-Support- / BankenidentitätsdiebstahlHoch
BECE-MailFinanzbetrug, DatenexfiltrationKritisch
Social Media LureLinkedIn, X, TelegramSpionage-Rekrutierung / APT-ZugangKritisch

MITRE ATT&CK Mapping

TechnikATT&CK-IDBeschreibung
Spearphishing AttachmentT1566.001Gezielter bösartiger Dateianhang
Spearphishing LinkT1566.002Link zu betrügerischer Website
Spearphishing via ServiceT1566.003Über soziale Messaging-Dienste / Teams / Slack
Spearphishing VoiceT1566.004Vishing / Deepfake-Audio
Phishing for InformationT1598Credential- und Datenbeschaffung
Internal SpearphishingT1534Post-Kompromittierung über internen Account
Gather Victim IdentityT1589OSINT-Aufklärung über soziale Netzwerke

Erkennungsindikatoren — SOC-Ebene

Stufe 1 — E-Mail-Gateway-Erkennung

  • SPF-Fehler — Absende-Domain nicht autorisiert
  • DKIM-Fehler — kryptografische Signatur ungültig oder fehlend
  • DMARC-Richtlinie p=reject oder p=quarantine nicht eingehalten
  • Kürzlich registrierte Domain (< 30 Tage) — Whois-Korrelation
  • Typosquatting: micr0soft.com, bankk-secure.com
  • Abweichung zwischen sichtbarem From: und Return-Path: / Reply-To:
  • Ungewöhnlicher oder fehlender X-Mailer-Header
  • Kein TLS bei eingehender SMTP-Verbindung

Stufe 2 — Verhaltensbasierte Indikatoren

  • Künstliche Dringlichkeit: „dringend », „Handlung innerhalb von 24 Stunden erforderlich »
  • Autoritätsberufung: Geschäftsführer, Wirtschaftsprüfer, Strafverfolgungsbehörden
  • Ungewöhnliche Anfrage ohne sekundären Verifizierungskanal
  • Link zu einer Domäne abweichend von der legitimen Domain (Redirect-Kette)
  • Ungewöhnlicher Dateianhang: ISO, LNK, OneNote, SVG, HTML
  • Übermäßige Personalisierung (Spear Phishing): Vorname, Position, laufendes Projekt
  • Vertraulichkeitsanfrage / Anweisung, andere nicht zu informieren

Technische Kontrollen — CERT/CSIRT-Ebene

E-Mail-Authentifizierung: SPF · DKIM · DMARC

Anforderung 2026: Microsoft (Outlook), Google und Yahoo verlangen seit 2024–2025 SPF + DKIM + DMARC-Konformität (p=none Minimum) für Absender von mehr als 5.000 E-Mails pro Tag. DORA, PCI DSS 4.0 und NIS2 integrieren diese Kontrollen in ihre Kommunikationssicherheitsanforderungen.

Governance — CISO-Ebene

SäulePrioritätsmaßnahmenRahmenwerke
SensibilisierungPhishing-Simulationen, obligatorische Jahresschulung, BEC-KrisenübungenNIS2 Art.21, ISO 27001 A.6.3
ZugriffsrichtlinienSofortiger Entzug von Social-Media-Zugängen bei Beendigung von Aufgaben; Least-Privilege-PrinzipCIS Control 6, BSI IT-Grundschutz
Technische KontrollenSPF/DKIM/DMARC p=reject-Deployment, Anhang-Sandbox, URL-Filterung, phishing-resistentes MFA (FIDO2)ACSC Essential Eight ML2, PCI DSS 4.0
Incident ResponseDokumentiertes BEC-Playbook, Verfahren zur Kontowiederherstellung, interner MeldekanalNIST CSF 2.0, RFC 2350
Quellen
  1. ASD/ACSC — Detecting Socially Engineered Messages : https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/email-hardening/detecting-socially-engineered-messages
  2. ASD/ACSC — Security Tips for Social Media and Messaging Apps : https://www.cyber.gov.au/resources-business-and-government/governance-and-user-education/user-education/security-tips-social-media-and-messaging-apps
  3. Verizon — 2025 Data Breach Investigations Report : https://www.verizon.com/business/resources/reports/dbir/
  4. MITRE ATT&CK — Phishing T1566 : https://attack.mitre.org/techniques/T1566/
🇮🇹 Versione italiana
Data: 15 aprile 2026 • Fonte: ASD/ACSC — Australian Cyber Security Centre • Tipo: Guida al rilevamento — Ingegneria sociale • Livello: CISO · CERT · SOC • TLP: CLEAR

Sintesi esecutiva

L’Australian Signals Directorate (ASD/ACSC) ha pubblicato una guida strutturata per il rilevamento dei messaggi di ingegneria sociale, coprendo email, SMS, messaggistica istantanea e piattaforme di social media. Questa pubblicazione fa parte della serie Email Hardening dell’ACSC e fornisce un framework di rilevamento comportamentale e tecnico applicabile ai team CERT/CSIRT, agli analisti SOC e ai CISO.

Contesto delle minacce 2025–2026: Il Verizon DBIR 2025 indica che il Business Email Compromise (BEC) rappresenta tra il 17 e il 22% di tutti gli incidenti di ingegneria sociale. Il BEC rimane il tipo di incidente più comune, con il 75% dei casi che coinvolge il session hijacking per aggirare il MFA, rispetto al 38,5% del 2023.

Tassonomia dei messaggi di ingegneria sociale

TipoCanaleObiettivo principaleSofisticazione
PhishingEmailFurto di credenziali, distribuzione malwareMedia
Spear PhishingEmailAttacco mirato post-OSINTAlta
WhalingEmailCompromissione di dirigenti C-levelCritica
SmishingSMSReindirizzamento a siti fraudolentiMedia
VishingVoce / IMImpersonificazione supporto IT / bancaAlta
BECEmailFrode finanziaria, esfiltrazione datiCritica
Social Media LureLinkedIn, X, TelegramReclutamento spionistico / accesso APTCritica

Mapping MITRE ATT&CK

TecnicaID ATT&CKDescrizione
Spearphishing AttachmentT1566.001Allegato dannoso mirato
Spearphishing LinkT1566.002Link a sito fraudolento
Spearphishing via ServiceT1566.003Via servizi di messaggistica / Teams / Slack
Spearphishing VoiceT1566.004Vishing / audio deepfake
Phishing for InformationT1598Raccolta di credenziali e dati sensibili
Internal SpearphishingT1534Post-compromissione da account interno
Gather Victim IdentityT1589Ricognizione OSINT via social network

Indicatori comportamentali — Analisi SOC

Livello 1 — Rilevamento gateway email

  • Errore SPF — dominio mittente non autorizzato
  • Errore DKIM — firma crittografica non valida o assente
  • Policy DMARC p=reject o p=quarantine non rispettata
  • Dominio registrato di recente (< 30 giorni) — correlazione Whois
  • Typosquatting: micr0soft.com, bankk-secure.com
  • Discordanza tra From: visualizzato e Return-Path: o Reply-To:
  • Header X-Mailer insolito o assente
  • TLS assente sulla connessione SMTP in entrata

Livello 2 — Analisi comportamentale

  • Urgenza artificiale: « urgente », « azione richiesta entro 24 ore »
  • Invocazione di autorità: CEO, CFO, società di revisione, forze dell’ordine
  • Richiesta atipica senza canale di verifica secondario
  • Link a dominio diverso dal dominio legittimo (catena di reindirizzamento)
  • Allegato insolito: ISO, LNK, OneNote, SVG, HTML
  • Personalizzazione eccessiva (spear phishing): nome, posizione, progetto in corso
  • Richiesta di riservatezza / istruzione di non informare altri

Controlli tecnici — Livello CERT/CSIRT

Autenticazione email: SPF · DKIM · DMARC

Requisito 2026: Microsoft (Outlook), Google e Yahoo richiedono la conformità SPF + DKIM + DMARC (p=none minimo) per i mittenti di oltre 5.000 email/giorno dal 2024–2025. DORA, PCI DSS 4.0 e NIS2 integrano questi controlli nei requisiti di sicurezza delle comunicazioni.

Postura CISO — Governance strategica

PilastroAzioni prioritarieFramework applicabili
SensibilizzazioneSimulazioni di phishing, formazione annuale obbligatoria, esercitazioni di crisi BECNIS2 Art.21, ISO 27001 A.6.3
Policy di accessoRevoca immediata degli accessi ai social media professionali al termine dell’incarico; principio del minimo privilegioCIS Control 6, Essential Eight
Controlli tecniciDeploy SPF/DKIM/DMARC p=reject, sandbox allegati, filtraggio URL, MFA phishing-resistant (FIDO2)ACSC Essential Eight ML2, PCI DSS 4.0
Risposta agli incidentiPlaybook BEC documentato, procedura di recupero account compromesso, canale di segnalazione internoNIST CSF 2.0, RFC 2350
Fonti
  1. ASD/ACSC — Detecting Socially Engineered Messages : https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/email-hardening/detecting-socially-engineered-messages
  2. ASD/ACSC — Security Tips for Social Media and Messaging Apps : https://www.cyber.gov.au/resources-business-and-government/governance-and-user-education/user-education/security-tips-social-media-and-messaging-apps
  3. Verizon — 2025 Data Breach Investigations Report : https://www.verizon.com/business/resources/reports/dbir/
  4. MITRE ATT&CK — Phishing T1566 : https://attack.mitre.org/techniques/T1566/
🇪🇸 Versión en español
Fecha: 15 de abril de 2026 • Fuente: ASD/ACSC — Australian Cyber Security Centre • Tipo: Guía de detección — Ingeniería social • Nivel: CISO · CERT · SOC • TLP: CLEAR

Resumen ejecutivo

El Australian Signals Directorate (ASD/ACSC) ha publicado una guía estructurada para la detección de mensajes de ingeniería social en los vectores de correo electrónico, SMS, mensajería instantánea y redes sociales. Esta publicación forma parte de la serie Email Hardening del ACSC y proporciona un marco de detección conductual y técnica aplicable a equipos CERT/CSIRT, analistas SOC y CISOs.

Contexto de amenazas 2025–2026: El informe Verizon DBIR 2025 establece que el Business Email Compromise (BEC) representa entre el 17 y el 22 % de todos los incidentes de ingeniería social. El BEC sigue siendo el tipo de incidente más frecuente, con el 75 % de los casos involucrando session hijacking para eludir el MFA, frente al 38,5 % en 2023.

Taxonomía de mensajes de ingeniería social

TipoCanalObjetivo principalSofisticación
PhishingCorreo electrónicoRobo de credenciales, distribución de malwareMedia
Spear PhishingCorreo electrónicoAtaque dirigido post-OSINTAlta
WhalingCorreo electrónicoCompromiso de ejecutivos C-levelCrítica
SmishingSMSRedirección a sitios fraudulentosMedia
VishingVoz / IMSuplantación soporte TI / bancoAlta
BECCorreo electrónicoFraude financiero, exfiltración de datosCrítica
Social Media LureLinkedIn, X, TelegramReclutamiento espionaje / acceso APTCrítica

Mapeo MITRE ATT&CK

TécnicaID ATT&CKDescripción
Spearphishing AttachmentT1566.001Archivo adjunto malicioso dirigido
Spearphishing LinkT1566.002Enlace a sitio fraudulento
Spearphishing via ServiceT1566.003A través de mensajería social / Teams / Slack
Spearphishing VoiceT1566.004Vishing / audio deepfake
Phishing for InformationT1598Recopilación de credenciales y datos sensibles
Internal SpearphishingT1534Post-compromiso desde cuenta interna
Gather Victim IdentityT1589Reconocimiento OSINT a través de redes sociales

Indicadores de comportamiento — Análisis SOC

Nivel 1 — Detección en gateway de correo

  • Fallo SPF — dominio remitente no autorizado
  • Fallo DKIM — firma criptográfica no válida o ausente
  • Política DMARC p=reject o p=quarantine no respetada
  • Dominio registrado recientemente (< 30 días) — correlación Whois
  • Typosquatting: micr0soft.com, bankk-secure.com
  • Discrepancia entre From: mostrado y Return-Path: / Reply-To:
  • Cabecera X-Mailer inusual o ausente
  • TLS ausente en la conexión SMTP entrante

Nivel 2 — Análisis conductual

  • Urgencia artificial: « urgente », « acción requerida en 24 horas »
  • Invocación de autoridad: CEO, CFO, firma auditora, fuerzas del orden
  • Solicitud atípica sin canal de verificación secundario
  • Enlace a dominio diferente del dominio legítimo (cadena de redirección)
  • Adjunto inusual: ISO, LNK, OneNote, SVG, HTML
  • Personalización excesiva (spear phishing): nombre, cargo, proyecto en curso
  • Solicitud de confidencialidad / instrucción de no informar a otros

Controles técnicos — Nivel CERT/CSIRT

Autenticación de correo: SPF · DKIM · DMARC

Requisito 2026: Microsoft (Outlook), Google y Yahoo exigen el cumplimiento de SPF + DKIM + DMARC (p=none mínimo) para remitentes de más de 5.000 correos/día desde 2024–2025. DORA, PCI DSS 4.0 y NIS2 integran estos controles en sus requisitos de seguridad de las comunicaciones.

Postura CISO — Gobernanza estratégica

PilarAcciones prioritariasMarcos aplicables
ConcienciaciónSimulaciones de phishing, formación anual obligatoria, ejercicios de crisis BECNIS2 Art.21, ISO 27001 A.6.3
Política de accesoRevocar inmediatamente accesos a redes sociales profesionales al finalizar la asignación; principio de mínimo privilegioCIS Control 6, Essential Eight
Controles técnicosDespliegue SPF/DKIM/DMARC p=reject, sandbox de adjuntos, filtrado de URL, MFA resistente al phishing (FIDO2)ACSC Essential Eight ML2, PCI DSS 4.0
Respuesta a incidentesPlaybook BEC documentado, procedimiento de recuperación de cuentas comprometidas, canal de notificación internoNIST CSF 2.0, RFC 2350
Fuentes
  1. ASD/ACSC — Detecting Socially Engineered Messages : https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/email-hardening/detecting-socially-engineered-messages
  2. ASD/ACSC — Security Tips for Social Media and Messaging Apps : https://www.cyber.gov.au/resources-business-and-government/governance-and-user-education/user-education/security-tips-social-media-and-messaging-apps
  3. Verizon — 2025 Data Breach Investigations Report : https://www.verizon.com/business/resources/reports/dbir/
  4. MITRE ATT&CK — Phishing T1566 : https://attack.mitre.org/techniques/T1566/