Detecting Phishing
Last updated
Last updated
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)
Bir phishing girişimini tespit etmek için günümüzde kullanılan phishing tekniklerini anlamak önemlidir. Bu gönderinin ana sayfasında bu bilgiyi bulabilirsiniz, bu yüzden bugün hangi tekniklerin kullanıldığını bilmiyorsanız ana sayfaya gidip en azından o bölümü okumanızı öneririm.
Bu gönderi, saldırganların bir şekilde kurbanın alan adını taklit etmeye veya kullanmaya çalışacakları fikrine dayanmaktadır. Eğer alan adınız example.com
ise ve bir şekilde youwonthelottery.com
gibi tamamen farklı bir alan adı kullanılarak phishing yapılıyorsa, bu teknikler bunu açığa çıkarmayacaktır.
E-posta içinde benzer bir alan adı kullanarak yapılan phishing girişimlerini açığa çıkarmak oldukça kolaydır. Saldırganın kullanabileceği en olası phishing adlarının bir listesini oluşturmak ve kayıtlı olup olmadığını kontrol etmek veya sadece herhangi bir IP'nin bunu kullanıp kullanmadığını kontrol etmek yeterlidir.
Bu amaçla, aşağıdaki araçlardan herhangi birini kullanabilirsiniz. Bu araçların, alan adının atanmış bir IP'si olup olmadığını kontrol etmek için otomatik olarak DNS istekleri de gerçekleştireceğini unutmayın:
Bu tekniğin kısa bir açıklamasını ana sayfada bulabilirsiniz. Ya da orijinal araştırmayı **https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/** adresinden okuyabilirsiniz.
Örneğin, microsoft.com alan adında 1 bitlik bir değişiklik onu windnws.com haline getirebilir. Saldırganlar, kurbanla ilgili olabildiğince çok bit-flipping alan adı kaydedebilirler ve meşru kullanıcıları kendi altyapılarına yönlendirebilirler.
Tüm olası bit-flipping alan adları da izlenmelidir.
Potansiyel şüpheli alan adları listeniz olduğunda, bunları (özellikle HTTP ve HTTPS portlarını) kontrol etmelisiniz ve kurbanın alanına benzer bir giriş formu kullanıp kullanmadıklarını görmek için kontrol etmelisiniz.
Ayrıca, port 3333'ü kontrol ederek açık olup olmadığını ve gophish
örneği çalıştırıp çalıştırmadığını görebilirsiniz.
Her keşfedilen şüpheli alanın ne kadar eski olduğunu bilmek de ilginçtir; ne kadar gençse, o kadar risklidir.
Şüpheli web sayfasının HTTP ve/veya HTTPS ekran görüntülerini alarak şüpheli olup olmadığını görebilir ve bu durumda daha derin bir inceleme yapmak için erişebilirsiniz.
Bir adım daha ileri gitmek istiyorsanız, şüpheli alanları izlemeyi ve zaman zaman (her gün mü? sadece birkaç saniye/dakika alır) daha fazlasını aramayı öneririm. Ayrıca, ilgili IP'lerin açık portlarını kontrol etmeli ve gophish
veya benzeri araçların örneklerini aramalısınız (evet, saldırganlar da hata yapar) ve şüpheli alanların ve alt alanların HTTP ve HTTPS web sayfalarını izlemelisiniz; böylece kurbanın web sayfalarından herhangi bir giriş formunu kopyalayıp kopyalamadıklarını görebilirsiniz.
Bunu otomatikleştirmek için, kurbanın alanlarının giriş formlarının bir listesini oluşturmayı, şüpheli web sayfalarını taramayı ve şüpheli alanlardaki her giriş formunu kurbanın alanındaki her giriş formuyla ssdeep
gibi bir şey kullanarak karşılaştırmayı öneririm.
Eğer şüpheli alanların giriş formlarını bulduysanız, saçma kimlik bilgileri göndermeyi ve sizi kurbanın alanına yönlendirip yönlendirmediğini kontrol etmeyi deneyebilirsiniz.
Ana sayfa, kurbanın alan adını daha büyük bir alan adı içine yerleştirme tekniğini de belirtmektedir (örneğin, paypal.com için paypal-financial.com).
Önceki "Brute-Force" yaklaşımını almak mümkün değildir, ancak aslında bu tür phishing girişimlerini açığa çıkarmak mümkündür; bu da sertifika şeffaflığı sayesinde mümkündür. Bir CA tarafından her sertifika verildiğinde, detaylar kamuya açık hale gelir. Bu, sertifika şeffaflığını okuyarak veya hatta izleyerek, adında bir anahtar kelime kullanan alanları bulmanın mümkün olduğu anlamına gelir. Örneğin, bir saldırgan https://paypal-financial.com için bir sertifika oluşturursa, sertifikayı görmek "paypal" anahtar kelimesini bulmayı ve şüpheli e-postanın kullanıldığını anlamayı mümkün kılar.
Gönderi https://0xpatrik.com/phishing-domains/ belirtiyor ki, belirli bir anahtar kelimeyi etkileyen sertifikaları aramak ve tarihi (sadece "yeni" sertifikalar) ve CA vereni "Let's Encrypt" ile filtrelemek için Censys'i kullanabilirsiniz:
Ancak, bunu ücretsiz web crt.sh kullanarak da yapabilirsiniz. Anahtar kelimeyi arayabilir ve isterseniz sonuçları tarih ve CA ile filtreleyebilirsiniz.
Bu son seçeneği kullanarak, gerçek alanın herhangi bir kimliğinin şüpheli alanlardan herhangi biriyle eşleşip eşleşmediğini görmek için Eşleşen Kimlikler alanını bile kullanabilirsiniz (şüpheli bir alanın yanlış pozitif olabileceğini unutmayın).
Bir diğer alternatif ise CertStream adlı harika projedir. CertStream, belirli anahtar kelimeleri (yaklaşık) gerçek zamanlı olarak tespit etmek için kullanabileceğiniz yeni oluşturulan sertifikaların gerçek zamanlı bir akışını sağlar. Aslında, tam olarak bunu yapan phishing_catcher adlı bir proje bulunmaktadır.
Son bir alternatif, bazı TLD'ler için yeni kayıtlı alanların bir listesini toplamak (Whoxy böyle bir hizmet sağlar) ve bu alanlardaki anahtar kelimeleri kontrol etmektir. Ancak, uzun alan adları genellikle bir veya daha fazla alt alan adı kullanır, bu nedenle anahtar kelime FLD içinde görünmeyecek ve phishing alt alanını bulamayacaksınız.
AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)