security awarenes training
školenie o bezpečnostnom povedomí
MITRE ATT&CK® is a globally-accessible knowledge base of adversary tactics and techniques based on real-world observations. The ATT&CK knowledge base is used as a foundation for the development of specific threat models and methodologies in the private sector, in government, and in the cybersecurity product and service community.
With the creation of ATT&CK, MITRE is fulfilling its mission to solve problems for a safer world — by bringing communities together to develop more effective cybersecurity. ATT&CK is open and available to any person or organization for use at no charge.
MITRE ATT&CK® je globálne dostupná znalostná základňa o taktikách a technikách protivníka založená na pozorovaniach z reálneho sveta. Znalostná základňa ATT&CK sa používa ako základ pre vývoj špecifických modelov a metodík hrozieb v súkromnom sektore, vo vláde a v komunite produktov a služieb kybernetickej bezpečnosti.
Vytvorením ATT&CK MITRE plní svoje poslanie riešiť problémy pre bezpečnejší svet – spájaním komunít s cieľom rozvíjať efektívnejšiu kybernetickú bezpečnosť. ATT&CK je otvorená a dostupná pre akúkoľvek osobu alebo organizáciu bezplatne.
Adversaries may perform different forms of active scanning depending on what information they seek to gather. These scans can also be performed in various ways, including using native features of network protocols such as ICMP.[1][2] Information from these scans may reveal opportunities for other forms of reconnaissance (ex: Search Open Websites/Domains or Search Open Technical Databases), establishing operational resources (ex: Develop Capabilities or Obtain Capabilities), and/or initial access (ex: External Remote Services or Exploit Public-Facing Application).
Útočníci môžu vykonávať rôzne formy aktívneho skenovania v závislosti od toho, aké informácie sa snažia zhromaždiť. Tieto skenovania sa dajú vykonávať aj rôznymi spôsobmi, vrátane použitia natívnych funkcií sieťových protokolov, ako je ICMP.[1][2] Informácie z týchto skenovaní môžu odhaliť príležitosti pre iné formy prieskumu (napr.: vyhľadávanie otvorených webových stránok/domén alebo vyhľadávanie otvorených technických databáz), stanovenie operačných zdrojov (napr.: vývoj schopností alebo získanie schopností) a/alebo počiatočný prístup (napr.: externé vzdialené služby alebo zneužitie verejne dostupných aplikácií).
Spoofing
Falšovanie
Gather Victim Host Information
Sub-techniques (4)
Adversaries may gather information about the victim’s hosts that can be used during targeting. Information about hosts may include a variety of details, including administrative data (ex: name, assigned IP, functionality, etc.) as well as specifics regarding its configuration (ex: operating system, language, etc.).
Adversaries may gather this information in various ways, such as direct collection actions via Active Scanning or Phishing for Information. Adversaries may also compromise sites then include malicious content designed to collect host information from visitors.[1] Information about hosts may also be exposed to adversaries via online or other accessible data sets (ex: Social Media or Search Victim-Owned Websites). Gathering this information may reveal opportunities for other forms of reconnaissance (ex: Search Open Websites/Domains or Search Open Technical Databases), establishing operational resources (ex: Develop Capabilities or Obtain Capabilities), and/or initial access (ex: Supply Chain Compromise or External Remote Services).
Adversaries may also gather victim host information via User-Agent HTTP headers, which are sent to a server to identify the application, operating system, vendor, and/or version of the requesting user agent. This can be used to inform the adversary’s follow-on action. For example, adversaries may check user agents for the requesting operating system, then only serve malware for target operating systems while ignoring others.[2]
Zhromažďovanie informácií o hostiteľovi obete
Subtechniky (4)
Útočníci môžu zhromažďovať informácie o hostiteľoch obete, ktoré možno použiť počas cielenia. Informácie o hostiteľoch môžu zahŕňať rôzne podrobnosti vrátane administratívnych údajov (napr. názov, pridelená IP adresa, funkčnosť atď.), ako aj špecifiká týkajúce sa ich konfigurácie (napr. operačný systém, jazyk atď.).
Útočníci môžu tieto informácie zhromažďovať rôznymi spôsobmi, napríklad priamym zhromažďovaním prostredníctvom aktívneho skenovania alebo phishingu. Útočníci môžu tiež kompromitovať stránky a potom zahrnúť škodlivý obsah určený na zhromažďovanie informácií o hostiteľovi od návštevníkov.[1] Informácie o hostiteľoch môžu byť útočníkom vystavené aj prostredníctvom online alebo iných prístupných súborov údajov (napr. sociálne médiá alebo vyhľadávanie webových stránok vlastnených obeťou). Zhromažďovanie týchto informácií môže odhaliť príležitosti na iné formy prieskumu (napr. vyhľadávanie otvorených webových stránok/domén alebo vyhľadávanie otvorených technických databáz), vytváranie operačných zdrojov (napr. rozvoj schopností alebo získanie schopností) a/alebo počiatočný prístup (napr. kompromitácia dodávateľského reťazca alebo externé vzdialené služby).
Útočníci môžu tiež zhromažďovať informácie o hostiteľovi obete prostredníctvom HTTP hlavičiek User-Agent, ktoré sa odosielajú na server na identifikáciu aplikácie, operačného systému, dodávateľa a/alebo verzie požadujúceho používateľského agenta. Toto sa môže použiť na informovanie o následných krokoch útočníka. Útočníci môžu napríklad skontrolovať používateľské agenty pre požadujúci operačný systém a potom poskytovať malvér iba pre cieľové operačné systémy, pričom ostatné ignorujú.[2]
Gather Victim Identity Information
Sub-techniques (3)
Adversaries may gather information about the victim’s identity that can be used during targeting. Information about identities may include a variety of details, including personal data (ex: employee names, email addresses, security question responses, etc.) as well as sensitive details such as credentials or multi-factor authentication (MFA) configurations.
Adversaries may gather this information in various ways, such as direct elicitation via Phishing for Information. Information about users could also be enumerated via other active means (i.e. Active Scanning) such as probing and analyzing responses from authentication services that may reveal valid usernames in a system or permitted MFA /methods associated with those usernames.[1][2] Information about victims may also be exposed to adversaries via online or other accessible data sets (ex: Social Media or Search Victim-Owned Websites).[3][4][5][6][7][8][9][10]
Gathering this information may reveal opportunities for other forms of reconnaissance (ex: Search Open Websites/Domains or Phishing for Information), establishing operational resources (ex: Compromise Accounts), and/or initial access (ex: Phishing or Valid Accounts).
Zhromažďovanie informácií o identite obete
Podtechniky (3)
Útočníci môžu zhromažďovať informácie o identite obete, ktoré možno použiť počas cieleného útoku. Informácie o identitách môžu zahŕňať rôzne podrobnosti vrátane osobných údajov (napr. mená zamestnancov, e-mailové adresy, odpovede na bezpečnostné otázky atď.), ako aj citlivé údaje, ako sú poverenia alebo konfigurácie viacfaktorového overovania (MFA).
Útočníci môžu tieto informácie zhromažďovať rôznymi spôsobmi, napríklad priamym získavaním informácií prostredníctvom phishingu. Informácie o používateľoch by sa mohli vymenovať aj prostredníctvom iných aktívnych prostriedkov (napr. aktívneho skenovania), ako je sondovanie a analýza odpovedí z autentifikačných služieb, ktoré môžu odhaliť platné používateľské mená v systéme alebo povolené MFA/metódy spojené s týmito používateľskými menami.[1][2] Informácie o obetiach môžu byť útočníkom vystavené aj prostredníctvom online alebo iných prístupných súborov údajov (napr. sociálne médiá alebo vyhľadávanie na webových stránkach vlastnených obeťami).[3][4][5][6][7][8][9][10]
Zhromažďovanie týchto informácií môže odhaliť príležitosti na iné formy prieskumu (napr. vyhľadávanie otvorených webových stránok/domén alebo phishing za účelom získania informácií), zriadenie operačných zdrojov (napr. kompromitovanie účtov) a/alebo počiatočný prístup (napr. phishing alebo platné účty).
Gather Victim Network Information
Sub-techniques (6)
Adversaries may gather information about the victim’s networks that can be used during targeting. Information about networks may include a variety of details, including administrative data (ex: IP ranges, domain names, etc.) as well as specifics regarding its topology and operations.
Adversaries may gather this information in various ways, such as direct collection actions via Active Scanning or Phishing for Information. Information about networks may also be exposed to adversaries via online or other accessible data sets (ex: Search Open Technical Databases).[1][2][3] Gathering this information may reveal opportunities for other forms of reconnaissance (ex: Active Scanning or Search Open Websites/Domains), establishing operational resources (ex: Acquire Infrastructure or Compromise Infrastructure), and/or initial access (ex: Trusted Relationship).
Zhromažďovanie informácií o sieti obete
Subtechniky (6)
Útočníci môžu zhromažďovať informácie o sieťach obete, ktoré možno použiť počas cieleného útoku. Informácie o sieťach môžu zahŕňať rôzne podrobnosti vrátane administratívnych údajov (napr. rozsahy IP adries, názvy domén atď.), ako aj špecifiká týkajúce sa ich topológie a prevádzky.
Útočníci môžu tieto informácie zhromažďovať rôznymi spôsobmi, napríklad priamym zhromažďovaním prostredníctvom aktívneho skenovania alebo phishingu. Informácie o sieťach môžu byť útočníkom sprístupnené aj prostredníctvom online alebo iných prístupných súborov údajov (napr. vyhľadávanie v otvorených technických databázach).[1][2][3] Zhromažďovanie týchto informácií môže odhaliť príležitosti na iné formy prieskumu (napr. aktívne skenovanie alebo vyhľadávanie v otvorených webových stránkach/doménach), vytvorenie operačných zdrojov (napr. získanie infraštruktúry alebo ohrozenie infraštruktúry) a/alebo počiatočný prístup (napr. dôveryhodný vzťah).
Gather Victim Org Information
Sub-techniques (4)
Adversaries may gather information about the victim’s organization that can be used during targeting. Information about an organization may include a variety of details, including the names of divisions/departments, specifics of business operations, as well as the roles and responsibilities of key employees.
Adversaries may gather this information in various ways, such as direct elicitation via Phishing for Information. Information about an organization may also be exposed to adversaries via online or other accessible data sets (ex: Social Media or Search Victim-Owned Websites).[1][2] Gathering this information may reveal opportunities for other forms of reconnaissance (ex: Phishing for Information or Search Open Websites/Domains), establishing operational resources (ex: Establish Accounts or Compromise Accounts), and/or initial access (ex: Phishing or Trusted Relationship).
Zhromažďovanie informácií o organizácii obete
Subtechniky (4)
Útočníci môžu zhromažďovať informácie o organizácii obete, ktoré možno použiť počas cieleného útoku. Informácie o organizácii môžu zahŕňať rôzne podrobnosti vrátane názvov divízií/oddelení, špecifiká obchodných operácií, ako aj úlohy a zodpovednosti kľúčových zamestnancov.
Útočníci môžu tieto informácie zhromažďovať rôznymi spôsobmi, napríklad priamym získavaním informácií prostredníctvom phishingu. Informácie o organizácii môžu byť útočníkom sprístupnené aj prostredníctvom online alebo iných prístupných súborov údajov (napr. sociálne médiá alebo vyhľadávanie webových stránok vlastnených obeťou).[1][2] Zhromažďovanie týchto informácií môže odhaliť príležitosti na iné formy prieskumu (napr. phishing alebo vyhľadávanie otvorených webových stránok/domén), vytváranie operačných zdrojov (napr. vytváranie účtov alebo kompromitovanie účtov) a/alebo počiatočný prístup (napr. phishing alebo dôveryhodný vzťah).
Zhromažďovanie informácií o organizácii obete
Subtechniky (4)
Útočníci môžu zhromažďovať informácie o organizácii obete, ktoré možno použiť počas cieleného útoku. Informácie o organizácii môžu zahŕňať rôzne podrobnosti vrátane názvov divízií/oddelení, špecifiká obchodných operácií, ako aj úlohy a zodpovednosti kľúčových zamestnancov.
Útočníci môžu tieto informácie zhromažďovať rôznymi spôsobmi, napríklad priamym získavaním informácií prostredníctvom phishingu. Informácie o organizácii môžu byť útočníkom sprístupnené aj prostredníctvom online alebo iných prístupných súborov údajov (napr. sociálne médiá alebo vyhľadávanie webových stránok vlastnených obeťou).[1][2] Zhromažďovanie týchto informácií môže odhaliť príležitosti na iné formy prieskumu (napr. phishing alebo vyhľadávanie otvorených webových stránok/domén), vytváranie operačných zdrojov (napr. vytváranie účtov alebo kompromitovanie účtov) a/alebo počiatočný prístup (napr. phishing alebo dôveryhodný vzťah).
Zhromažďovanie informácií o organizácii obete
Subtechniky (4)
Útočníci môžu zhromažďovať informácie o organizácii obete, ktoré možno použiť počas cieleného útoku. Informácie o organizácii môžu zahŕňať rôzne podrobnosti vrátane názvov divízií/oddelení, špecifiká obchodných operácií, ako aj úlohy a zodpovednosti kľúčových zamestnancov.
Útočníci môžu tieto informácie zhromažďovať rôznymi spôsobmi, napríklad priamym získavaním informácií prostredníctvom phishingu. Informácie o organizácii môžu byť útočníkom sprístupnené aj prostredníctvom online alebo iných prístupných súborov údajov (napr. sociálne médiá alebo vyhľadávanie webových stránok vlastnených obeťou).[1][2] Zhromažďovanie týchto informácií môže odhaliť príležitosti na iné formy prieskumu (napr. phishing alebo vyhľadávanie otvorených webových stránok/domén), vytváranie operačných zdrojov (napr. vytváranie účtov alebo kompromitovanie účtov) a/alebo počiatočný prístup (napr. phishing alebo dôveryhodný vzťah).
Phishing for Information
Sub-techniques (4)
Adversaries may send phishing messages to elicit sensitive information that can be used during targeting. Phishing for information is an attempt to trick targets into divulging information, frequently credentials or other actionable information. Phishing for information is different from Phishing in that the objective is gathering data from the victim rather than executing malicious code.
All forms of phishing are electronically delivered social engineering. Phishing can be targeted, known as spearphishing. In spearphishing, a specific individual, company, or industry will be targeted by the adversary. More generally, adversaries can conduct non-targeted phishing, such as in mass credential harvesting campaigns.
Adversaries may also try to obtain information directly through the exchange of emails, instant messages, or other electronic conversation means.[1][2][3][4][5] Victims may also receive phishing messages that direct them to call a phone number where the adversary attempts to collect confidential information.[6]
Phishing for information frequently involves social engineering techniques, such as posing as a source with a reason to collect information (ex: Establish Accounts or Compromise Accounts) and/or sending multiple, seemingly urgent messages. Another way to accomplish this is by Email Spoofing[7] the identity of the sender, which can be used to fool both the human recipient as well as automated security tools.[8]
Phishing for information may also involve evasive techniques, such as removing or manipulating emails or metadata/headers from compromised accounts being abused to send messages (e.g., Email Hiding Rules).[9][10]
Phishing za účelom získania informácií
Podtechniky (4)
Útočníci môžu posielať phishingové správy, aby získali citlivé informácie, ktoré sa dajú použiť pri cielení. Phishing za účelom získania informácií je pokus oklamať obete a prinútiť ich prezradiť informácie, často poverenia alebo iné informácie, na ktoré sa dajú použiť. Phishing za účelom získania informácií sa líši od phishingu v tom, že cieľom je zhromažďovať údaje od obete, a nie spúšťať škodlivý kód.
Všetky formy phishingu sú elektronicky poskytované sociálne inžinierstvo. Phishing môže byť cielený, známy ako spearphishing. Pri spearphishingu sa útočník zameriava na konkrétnu osobu, spoločnosť alebo odvetvie. Vo všeobecnosti môžu útočníci vykonávať necielený phishing, napríklad pri hromadných kampaniach na získavanie poverení.
Útočníci sa tiež môžu pokúsiť získať informácie priamo prostredníctvom výmeny e-mailov, okamžitých správ alebo iných elektronických komunikačných prostriedkov.[1][2][3][4][5] Obete môžu tiež dostávať phishingové správy, ktoré ich nasmerujú na zavolanie na telefónne číslo, kde sa útočník pokúša zhromaždiť dôverné informácie.[6]
Phishing za účelom získavania informácií často zahŕňa techniky sociálneho inžinierstva, ako napríklad vydávanie sa za zdroj s dôvodom na zhromažďovanie informácií (napr. vytvorenie účtov alebo kompromitácia účtov) a/alebo odosielanie viacerých, zdanlivo naliehavých správ. Ďalším spôsobom, ako to dosiahnuť, je falšovanie e-mailov[7], identity odosielateľa, čo sa dá použiť na oklamanie ľudského príjemcu, ako aj automatizovaných bezpečnostných nástrojov.[8]
Phishing za účelom získavania informácií môže zahŕňať aj techniky úniku, ako je odstraňovanie alebo manipulácia s e-mailami alebo metadátami/hlavičkami z kompromitovaných účtov, ktoré sa zneužívajú na odosielanie správ (napr. pravidlá skrývania e-mailov).[9][10]
Search Closed Sources
Sub-techniques (2)
ID Name
T1597.001 Threat Intel Vendors
T1597.002 Purchase Technical Data
Adversaries may search and gather information about victims from closed (e.g., paid, private, or otherwise not freely available) sources that can be used during targeting. Information about victims may be available for purchase from reputable private sources and databases, such as paid subscriptions to feeds of technical/threat intelligence data. Adversaries may also purchase information from less-reputable sources such as dark web or cybercrime blackmarkets.[1]
Adversaries may search in different closed databases depending on what information they seek to gather. Information from these sources may reveal opportunities for other forms of reconnaissance (ex: Phishing for Information or Search Open Websites/Domains), establishing operational resources (ex: Develop Capabilities or Obtain Capabilities), and/or initial access (ex: External Remote Services or Valid Accounts).
Vyhľadávanie v uzavretých zdrojoch
Podtechniky (2)
Názov ID
T1597.001 Dodávatelia informácií o hrozbách
T1597.002 Nákup technických údajov
Útočníci môžu vyhľadávať a zhromažďovať informácie o obetiach z uzavretých (napr. platených, súkromných alebo inak nedostupných) zdrojov, ktoré možno použiť počas cielenia. Informácie o obetiach môžu byť k dispozícii na zakúpenie z renomovaných súkromných zdrojov a databáz, ako sú platené predplatné na kanály technických/informačných informácií o hrozbách. Útočníci môžu tiež nakupovať informácie z menej renomovaných zdrojov, ako je dark web alebo čierne trhy s kyberkriminalitou.[1]
Útočníci môžu vyhľadávať v rôznych uzavretých databázach v závislosti od toho, aké informácie sa snažia zhromaždiť. Informácie z týchto zdrojov môžu odhaliť príležitosti na iné formy prieskumu (napr.: phishing informácií alebo vyhľadávanie otvorených webových stránok/domén), vytváranie operačných zdrojov (napr.: rozvoj schopností alebo získanie schopností) a/alebo počiatočný prístup (napr.: externé vzdialené služby alebo platné účty).
Search Open Technical Databases
Sub-techniques (5)
ID Name
T1596.001 DNS/Passive DNS
T1596.002 WHOIS
T1596.003 Digital Certificates
T1596.004 CDNs
T1596.005 Scan Databases
Adversaries may search freely available technical databases for information about victims that can be used during targeting. Information about victims may be available in online databases and repositories, such as registrations of domains/certificates as well as public collections of network data/artifacts gathered from traffic and/or scans.[1][2][3][4][5][6][7]
Adversaries may search in different open databases depending on what information they seek to gather. Information from these sources may reveal opportunities for other forms of reconnaissance (ex: Phishing for Information or Search Open Websites/Domains), establishing operational resources (ex: Acquire Infrastructure or Compromise Infrastructure), and/or initial access (ex: External Remote Services or Trusted Relationship).
Vyhľadávanie v otvorených technických databázach
Podtechniky (5)
Názov ID
T1596.001 DNS/Pasívny DNS
T1596.002 WHOIS
T1596.003 Digitálne certifikáty
T1596.004 CDN
T1596.005 Skenovacie databázy
Útočníci môžu vyhľadávať vo voľne dostupných technických databázach informácie o obetiach, ktoré možno použiť pri cielení. Informácie o obetiach môžu byť dostupné v online databázach a úložiskách, ako sú registrácie domén/certifikátov, ako aj verejné zbierky sieťových údajov/artefaktov zhromaždených z prevádzky a/alebo skenovania.[1][2][3][4][5][6][7]
Útočníci môžu vyhľadávať v rôznych otvorených databázach v závislosti od toho, aké informácie chcú zhromaždiť. Informácie z týchto zdrojov môžu odhaliť príležitosti na iné formy prieskumu (napr.: phishing za účelom získania informácií alebo vyhľadávanie otvorených webových stránok/domén), zriaďovanie operačných zdrojov (napr.: získanie infraštruktúry alebo ohrozenie infraštruktúry) a/alebo počiatočný prístup (napr.: externé vzdialené služby alebo dôveryhodný vzťah).
Search Open Websites/Domains
Sub-techniques (3)
ID Name
T1593.001 Social Media
T1593.002 Search Engines
T1593.003 Code Repositories
Adversaries may search freely available websites and/or domains for information about victims that can be used during targeting. Information about victims may be available in various online sites, such as social media, new sites, or those hosting information about business operations such as hiring or requested/rewarded contracts.[1][2][3]
Adversaries may search in different online sites depending on what information they seek to gather. Information from these sources may reveal opportunities for other forms of reconnaissance (ex: Phishing for Information or Search Open Technical Databases), establishing operational resources (ex: Establish Accounts or Compromise Accounts), and/or initial access (ex: External Remote Services or Phishing).
Vyhľadávanie otvorených webových stránok/domén
Podtechniky (3)
Názov ID
T1593.001 Sociálne médiá
T1593.002 Vyhľadávače
T1593.003 Úložiská kódu
Útočníci môžu vyhľadávať na voľne dostupných webových stránkach a/alebo doménach informácie o obetiach, ktoré možno použiť počas cielenia. Informácie o obetiach môžu byť dostupné na rôznych online stránkach, ako sú sociálne médiá, nové stránky alebo tie, ktoré hostia informácie o obchodných operáciách, ako je prijímanie zamestnancov alebo požadované/udelené zmluvy.[1][2][3]
Útočníci môžu vyhľadávať na rôznych online stránkach v závislosti od toho, aké informácie sa snažia zhromaždiť. Informácie z týchto zdrojov môžu odhaliť príležitosti na iné formy prieskumu (napr.: phishing informácií alebo vyhľadávanie otvorených technických databáz), vytváranie operačných zdrojov (napr.: vytváranie účtov alebo kompromitovanie účtov) a/alebo počiatočný prístup (napr.: externé vzdialené služby alebo phishing).
Search Threat Vendor Data
Threat actors may seek information/indicators from closed or open threat intelligence sources gathered about their own campaigns, as well as those conducted by other adversaries that may align with their target industries, capabilities/objectives, or other operational concerns. These reports may include descriptions of behavior, detailed breakdowns of attacks, atomic indicators such as malware hashes or IP addresses, timelines of a group’s activity, and more. Adversaries may change their behavior when planning their future operations.
Adversaries have been observed replacing atomic indicators mentioned in blog posts in under a week.[1] Adversaries have also been seen searching for their own domain names in threat vendor data and then taking them down, likely to avoid seizure or further investigation.[2]
This technique is distinct from Threat Intel Vendors in that it describes threat actors performing reconnaissance on their own activity, not in search of victim information.
Search Victim-Owned Websites
Adversaries may search websites owned by the victim for information that can be used during targeting. Victim-owned websites may contain a variety of details, including names of departments/divisions, physical locations, and data about key employees such as names, roles, and contact info (ex: Email Addresses). These sites may also have details highlighting business operations and relationships.[1]
Adversaries may search victim-owned websites to gather actionable information. Information from these sources may reveal opportunities for other forms of reconnaissance (ex: Phishing for Information or Search Open Technical Databases), establishing operational resources (ex: Establish Accounts or Compromise Accounts), and/or initial access (ex: Trusted Relationship or Phishing).
In addition to manually browsing the website, adversaries may attempt to identify hidden directories or files that could contain additional sensitive information or vulnerable functionality. They may do this through automated activities such as Wordlist Scanning, as well as by leveraging files such as sitemap.xml and robots.txt.[2][3]
Vyhľadávanie webových stránok vo vlastníctve obete
Útočníci môžu vyhľadávať na webových stránkach vo vlastníctve obete informácie, ktoré možno použiť počas útoku. Webové stránky vo vlastníctve obete môžu obsahovať rôzne podrobnosti vrátane názvov oddelení/divízií, fyzických umiestnení a údajov o kľúčových zamestnancoch, ako sú mená, pozície a kontaktné informácie (napr. e-mailové adresy). Tieto stránky môžu tiež obsahovať podrobnosti zdôrazňujúce obchodné operácie a vzťahy.[1]
Útočníci môžu vyhľadávať na webových stránkach vo vlastníctve obete, aby zhromaždili užitočné informácie. Informácie z týchto zdrojov môžu odhaliť príležitosti na iné formy prieskumu (napr. phishing informácií alebo vyhľadávanie v otvorených technických databázach), zriaďovanie operačných zdrojov (napr. vytváranie účtov alebo kompromitovanie účtov) a/alebo počiatočný prístup (napr. dôveryhodný vzťah alebo phishing).
Okrem manuálneho prehliadania webovej stránky sa útočníci môžu pokúsiť identifikovať skryté adresáre alebo súbory, ktoré by mohli obsahovať ďalšie citlivé informácie alebo zraniteľné funkcie. Môžu to robiť prostredníctvom automatizovaných aktivít, ako je skenovanie zoznamu slov, ako aj využitím súborov, ako sú sitemap.xml a robots.txt.[2][3]
