Detecting Phishing
Εισαγωγή
Για να ανιχνεύσετε μια απόπειρα phishing είναι σημαντικό να κατανοήσετε τις τεχνικές phishing που χρησιμοποιούνται σήμερα. Στη γονική σελίδα αυτής της ανάρτησης, μπορείτε να βρείτε αυτές τις πληροφορίες, οπότε αν δεν γνωρίζετε ποιες τεχνικές χρησιμοποιούνται σήμερα, σας προτείνω να πάτε στη γονική σελίδα και να διαβάσετε τουλάχιστον αυτή την ενότητα.
Αυτή η ανάρτηση βασίζεται στην ιδέα ότι οι επιτιθέμενοι θα προσπαθήσουν να μιμηθούν ή να χρησιμοποιήσουν το όνομα τομέα του θύματος. Αν το domain σας ονομάζεται example.com και σας phishing χρησιμοποιώντας ένα εντελώς διαφορετικό όνομα τομέα για κάποιο λόγο όπως youwonthelottery.com, αυτές οι τεχνικές δεν θα το αποκαλύψουν.
Παραλλαγές ονόματος τομέα
Είναι κάπως εύκολο να αποκαλύψετε αυτές τις απόπειρες phishing που θα χρησιμοποιήσουν ένα παρόμοιο όνομα τομέα μέσα στο email. Αρκεί να δημιουργήσετε μια λίστα με τα πιο πιθανά ονόματα phishing που μπορεί να χρησιμοποιήσει ένας επιτιθέμενος και να ελέγξετε αν είναι καταχωρημένα ή απλώς να ελέγξετε αν υπάρχει κάποια IP που τα χρησιμοποιεί.
Εύρεση ύποπτων τομέων
Για αυτόν τον σκοπό, μπορείτε να χρησιμοποιήσετε οποιοδήποτε από τα παρακάτω εργαλεία. Σημειώστε ότι αυτά τα εργαλεία θα εκτελούν επίσης αυτόματες DNS αιτήσεις για να ελέγξουν αν ο τομέας έχει κάποια IP που του έχει ανατεθεί:
Bitflipping
Μπορείτε να βρείτε μια σύντομη εξήγηση αυτής της τεχνικής στη γονική σελίδα. Ή διαβάστε την πρωτότυπη έρευνα στο https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/
Για παράδειγμα, μια τροποποίηση 1 bit στο domain microsoft.com μπορεί να το μετατρέψει σε windnws.com. Οι επιτιθέμενοι μπορεί να καταχωρήσουν όσο το δυνατόν περισσότερους τομείς bit-flipping σχετικούς με το θύμα για να ανακατευθύνουν νόμιμους χρήστες στην υποδομή τους.
Όλα τα πιθανά ονόματα τομέα bit-flipping θα πρέπει επίσης να παρακολουθούνται.
Βασικοί έλεγχοι
Αφού έχετε μια λίστα με πιθανά ύποπτα ονόματα τομέα, θα πρέπει να τα ελέγξετε (κυρίως τις θύρες HTTP και HTTPS) για να δείτε αν χρησιμοποιούν κάποια φόρμα σύνδεσης παρόμοια με κάποια από το domain του θύματος.
Μπορείτε επίσης να ελέγξετε την θύρα 3333 για να δείτε αν είναι ανοιχτή και τρέχει μια instance του gophish.
Είναι επίσης ενδιαφέρον να γνωρίζετε πόσο παλιό είναι κάθε ανακαλυφθέν ύποπτο domain, όσο πιο νέο είναι, τόσο πιο επικίνδυνο είναι.
Μπορείτε επίσης να πάρετε σcreenshot της ύποπτης ιστοσελίδας HTTP και/ή HTTPS για να δείτε αν είναι ύποπτη και σε αυτή την περίπτωση να την επισκεφθείτε για να ρίξετε μια πιο προσεκτική ματιά.
Προχωρημένοι έλεγχοι
Αν θέλετε να προχωρήσετε ένα βήμα παραπέρα, θα σας πρότεινα να παρακολουθείτε αυτούς τους ύποπτους τομείς και να αναζητάτε περισσότερους από καιρό σε καιρό (κάθε μέρα; χρειάζεται μόνο μερικά δευτερόλεπτα/λεπτά). Θα πρέπει επίσης να ελέγξετε τις ανοιχτές θύρες των σχετικών IP και να αναζητήσετε instances του gophish ή παρόμοιων εργαλείων (ναι, οι επιτιθέμενοι κάνουν επίσης λάθη) και να παρακολουθείτε τις ιστοσελίδες HTTP και HTTPS των ύποπτων τομέων και υποτομέων για να δείτε αν έχουν αντιγράψει κάποια φόρμα σύνδεσης από τις ιστοσελίδες του θύματος.
Για να αυτοματοποιήσετε αυτό, θα σας πρότεινα να έχετε μια λίστα με τις φόρμες σύνδεσης των τομέων του θύματος, να σπινάρετε τις ύποπτες ιστοσελίδες και να συγκρίνετε κάθε φόρμα σύνδεσης που βρέθηκε μέσα στους ύποπτους τομείς με κάθε φόρμα σύνδεσης του τομέα του θύματος χρησιμοποιώντας κάτι όπως το ssdeep.
Αν έχετε εντοπίσει τις φόρμες σύνδεσης των ύποπτων τομέων, μπορείτε να προσπαθήσετε να στείλετε ψεύτικα διαπιστευτήρια και να ελέγξετε αν σας ανακατευθύνει στο domain του θύματος.
Ονόματα τομέα που χρησιμοποιούν λέξεις-κλειδιά
Η γονική σελίδα αναφέρει επίσης μια τεχνική παραλλαγής ονόματος τομέα που συνίσταται στο να βάζετε το όνομα τομέα του θύματος μέσα σε έναν μεγαλύτερο τομέα (π.χ. paypal-financial.com για paypal.com).
Διαφάνεια Πιστοποιητικών
Δεν είναι δυνατόν να ακολουθήσετε την προηγούμενη προσέγγιση "Brute-Force", αλλά είναι στην πραγματικότητα δυνατό να αποκαλύψετε τέτοιες απόπειρες phishing επίσης χάρη στη διαφάνεια πιστοποιητικών. Κάθε φορά που ένα πιστοποιητικό εκδίδεται από μια CA, οι λεπτομέρειες δημοσιοποιούνται. Αυτό σημαίνει ότι διαβάζοντας τη διαφάνεια πιστοποιητικών ή ακόμα και παρακολουθώντας την, είναι δυνατό να βρείτε τομείς που χρησιμοποιούν μια λέξη-κλειδί μέσα στο όνομά τους. Για παράδειγμα, αν ένας επιτιθέμενος δημιουργήσει ένα πιστοποιητικό για https://paypal-financial.com, βλέποντας το πιστοποιητικό είναι δυνατό να βρείτε τη λέξη-κλειδί "paypal" και να γνωρίζετε ότι χρησιμοποιείται ένα ύποπτο email.
Η ανάρτηση https://0xpatrik.com/phishing-domains/ προτείνει ότι μπορείτε να χρησιμοποιήσετε το Censys για να αναζητήσετε πιστοποιητικά που επηρεάζουν μια συγκεκριμένη λέξη-κλειδί και να φιλτράρετε κατά ημερομηνία (μόνο "νέα" πιστοποιητικά) και από τον εκδότη CA "Let's Encrypt":
Ωστόσο, μπορείτε να κάνετε "το ίδιο" χρησιμοποιώντας το δωρεάν web crt.sh. Μπορείτε να αναζητήσετε τη λέξη-κλειδί και να φιλτράρετε τα αποτελέσματα κατά ημερομηνία και CA αν το επιθυμείτε.
Χρησιμοποιώντας αυτή την τελευταία επιλογή μπορείτε ακόμη και να χρησιμοποιήσετε το πεδίο Matching Identities για να δείτε αν κάποια ταυτότητα από τον πραγματικό τομέα ταιριάζει με κάποιο από τα ύποπτα domains (σημειώστε ότι ένα ύποπτο domain μπορεί να είναι ψευδώς θετικό).
Μια άλλη εναλλακτική είναι το φανταστικό έργο που ονομάζεται CertStream. Το CertStream παρέχει μια ροή σε πραγματικό χρόνο νέων πιστοποιητικών που μπορείτε να χρησιμοποιήσετε για να ανιχνεύσετε καθορισμένες λέξεις-κλειδιά σε (σχεδόν) πραγματικό χρόνο. Στην πραγματικότητα, υπάρχει ένα έργο που ονομάζεται phishing_catcher που κάνει ακριβώς αυτό.
Νέοι τομείς
Μια τελευταία εναλλακτική είναι να συγκεντρώσετε μια λίστα με νέα καταχωρημένα domains για ορισμένα TLDs (Whoxy παρέχει τέτοια υπηρεσία) και να ελέγξετε τις λέξεις-κλειδιά σε αυτούς τους τομείς. Ωστόσο, οι μακροχρόνιοι τομείς συνήθως χρησιμοποιούν ένα ή περισσότερους υποτομείς, επομένως η λέξη-κλειδί δεν θα εμφανίζεται μέσα στο FLD και δεν θα μπορείτε να βρείτε τον υποτομέα phishing.
Last updated
