Detecting Phishing
Last updated
Last updated
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Για να ανιχνεύσετε μια απόπειρα phishing είναι σημαντικό να κατανοήσετε τις τεχνικές phishing που χρησιμοποιούνται σήμερα. Στη γονική σελίδα αυτής της ανάρτησης, μπορείτε να βρείτε αυτές τις πληροφορίες, οπότε αν δεν γνωρίζετε ποιες τεχνικές χρησιμοποιούνται σήμερα, σας προτείνω να πάτε στη γονική σελίδα και να διαβάσετε τουλάχιστον αυτή την ενότητα.
Αυτή η ανάρτηση βασίζεται στην ιδέα ότι οι επιτιθέμενοι θα προσπαθήσουν με κάποιο τρόπο να μιμηθούν ή να χρησιμοποιήσουν το όνομα τομέα του θύματος. Αν το domain σας ονομάζεται example.com
και σας phishing με ένα εντελώς διαφορετικό όνομα τομέα για κάποιο λόγο όπως youwonthelottery.com
, αυτές οι τεχνικές δεν θα το αποκαλύψουν.
Είναι κάπως εύκολο να αποκαλύψετε αυτές τις απόπειρες phishing που θα χρησιμοποιήσουν ένα παρόμοιο όνομα τομέα μέσα στο email. Αρκεί να δημιουργήσετε μια λίστα με τα πιο πιθανά ονόματα phishing που μπορεί να χρησιμοποιήσει ένας επιτιθέμενος και να ελέγξετε αν είναι καταχωρημένα ή απλά να ελέγξετε αν υπάρχει κάποια IP που τα χρησιμοποιεί.
Για αυτόν τον σκοπό, μπορείτε να χρησιμοποιήσετε οποιοδήποτε από τα παρακάτω εργαλεία. Σημειώστε ότι αυτά τα εργαλεία θα εκτελούν επίσης αυτόματα DNS αιτήματα για να ελέγξουν αν ο τομέας έχει κάποια IP που του έχει ανατεθεί:
Μπορείτε να βρείτε μια σύντομη εξήγηση αυτής της τεχνικής στη γονική σελίδα. Ή διαβάστε την αρχική έρευνα στο https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/
Για παράδειγμα, μια τροποποίηση 1 bit στο domain microsoft.com μπορεί να το μετατρέψει σε windnws.com. Οι επιτιθέμενοι μπορεί να καταχωρήσουν όσους περισσότερους τομείς bit-flipping μπορούν σχετικούς με το θύμα για να ανακατευθύνουν νόμιμους χρήστες στην υποδομή τους.
Όλα τα πιθανά ονόματα τομέα bit-flipping θα πρέπει επίσης να παρακολουθούνται.
Αφού έχετε μια λίστα με πιθανά ύποπτα ονόματα τομέα, θα πρέπει να τα ελέγξετε (κυρίως τις θύρες HTTP και HTTPS) για να δείτε αν χρησιμοποιούν κάποια φόρμα σύνδεσης παρόμοια με αυτήν του τομέα του θύματος.
Μπορείτε επίσης να ελέγξετε την θύρα 3333 για να δείτε αν είναι ανοιχτή και τρέχει μια instance του gophish
.
Είναι επίσης ενδιαφέρον να γνωρίζετε πόσο παλιός είναι κάθε ανακαλυφθείς ύποπτος τομέας, όσο πιο νέος είναι, τόσο πιο επικίνδυνος είναι.
Μπορείτε επίσης να πάρετε σcreenshot της ύποπτης ιστοσελίδας HTTP και/ή HTTPS για να δείτε αν είναι ύποπτη και σε αυτή την περίπτωση να την επισκεφθείτε για να ρίξετε μια πιο προσεκτική ματιά.
Αν θέλετε να προχωρήσετε ένα βήμα παραπέρα, θα σας πρότεινα να παρακολουθείτε αυτούς τους ύποπτους τομείς και να αναζητάτε περισσότερους από καιρό σε καιρό (κάθε μέρα; χρειάζεται μόνο μερικά δευτερόλεπτα/λεπτά). Θα πρέπει επίσης να ελέγξετε τις ανοιχτές θύρες των σχετικών IP και να αναζητήσετε instances του gophish
ή παρόμοιων εργαλείων (ναι, οι επιτιθέμενοι κάνουν επίσης λάθη) και να παρακολουθείτε τις ιστοσελίδες HTTP και HTTPS των ύποπτων τομέων και υποτομέων για να δείτε αν έχουν αντιγράψει κάποια φόρμα σύνδεσης από τις ιστοσελίδες του θύματος.
Για να αυτοματοποιήσετε αυτό, θα σας πρότεινα να έχετε μια λίστα με τις φόρμες σύνδεσης των τομέων του θύματος, να σπινάρετε τις ύποπτες ιστοσελίδες και να συγκρίνετε κάθε φόρμα σύνδεσης που βρέθηκε μέσα στους ύποπτους τομείς με κάθε φόρμα σύνδεσης του τομέα του θύματος χρησιμοποιώντας κάτι όπως το ssdeep
.
Αν έχετε εντοπίσει τις φόρμες σύνδεσης των ύποπτων τομέων, μπορείτε να προσπαθήσετε να στείλετε ψεύτικα διαπιστευτήρια και να ελέγξετε αν σας ανακατευθύνει στο domain του θύματος.
Η γονική σελίδα αναφέρει επίσης μια τεχνική παραλλαγής ονόματος τομέα που συνίσταται στο να βάζετε το όνομα τομέα του θύματος μέσα σε έναν μεγαλύτερο τομέα (π.χ. paypal-financial.com για paypal.com).
Δεν είναι δυνατόν να ακολουθήσετε την προηγούμενη προσέγγιση "Brute-Force", αλλά είναι στην πραγματικότητα δυνατό να αποκαλύψετε τέτοιες απόπειρες phishing επίσης χάρη στη διαφάνεια πιστοποιητικών. Κάθε φορά που εκδίδεται ένα πιστοποιητικό από μια CA, οι λεπτομέρειες δημοσιοποιούνται. Αυτό σημαίνει ότι διαβάζοντας τη διαφάνεια πιστοποιητικών ή ακόμα και παρακολουθώντας την, είναι δυνατό να βρείτε τομείς που χρησιμοποιούν μια λέξη-κλειδί μέσα στο όνομά τους. Για παράδειγμα, αν ένας επιτιθέμενος δημιουργήσει ένα πιστοποιητικό για https://paypal-financial.com, βλέποντας το πιστοποιητικό είναι δυνατό να βρείτε τη λέξη-κλειδί "paypal" και να γνωρίζετε ότι χρησιμοποιείται ένα ύποπτο email.
Η ανάρτηση https://0xpatrik.com/phishing-domains/ προτείνει ότι μπορείτε να χρησιμοποιήσετε το Censys για να αναζητήσετε πιστοποιητικά που επηρεάζουν μια συγκεκριμένη λέξη-κλειδί και να φιλτράρετε κατά ημερομηνία (μόνο "νέα" πιστοποιητικά) και από τον εκδότη CA "Let's Encrypt":
Ωστόσο, μπορείτε να κάνετε "το ίδιο" χρησιμοποιώντας το δωρεάν web crt.sh. Μπορείτε να αναζητήσετε τη λέξη-κλειδί και να φιλτράρετε τα αποτελέσματα κατά ημερομηνία και CA αν το επιθυμείτε.
Χρησιμοποιώντας αυτή την τελευταία επιλογή μπορείτε ακόμη και να χρησιμοποιήσετε το πεδίο Matching Identities για να δείτε αν κάποια ταυτότητα από τον πραγματικό τομέα ταιριάζει με κάποιον από τους ύποπτους τομείς (σημειώστε ότι ένας ύποπτος τομέας μπορεί να είναι ψευδώς θετικός).
Μια άλλη εναλλακτική είναι το φανταστικό έργο που ονομάζεται CertStream. Το CertStream παρέχει μια ροή σε πραγματικό χρόνο νέων πιστοποιητικών που μπορείτε να χρησιμοποιήσετε για να ανιχνεύσετε καθορισμένες λέξεις-κλειδιά σε (σχεδόν) πραγματικό χρόνο. Στην πραγματικότητα, υπάρχει ένα έργο που ονομάζεται phishing_catcher που κάνει ακριβώς αυτό.
Μια τελευταία εναλλακτική είναι να συγκεντρώσετε μια λίστα με νέους καταχωρημένους τομείς για ορισμένα TLDs (Whoxy παρέχει τέτοια υπηρεσία) και να ελέγξετε τις λέξεις-κλειδιά σε αυτούς τους τομείς. Ωστόσο, οι μακροχρόνιοι τομείς συνήθως χρησιμοποιούν έναν ή περισσότερους υποτομείς, επομένως η λέξη-κλειδί δεν θα εμφανίζεται μέσα στο FLD και δεν θα μπορείτε να βρείτε τον υποτομέα phishing.
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)