परिचय

फिशिंग प्रयास का पता लगाने के लिए आजकल उपयोग की जाने वाली फिशिंग तकनीकों को समझना महत्वपूर्ण है। इस पोस्ट के मूल पृष्ठ पर, आप इस जानकारी को पा सकते हैं, इसलिए यदि आपको आजकल कौन सी तकनीकें उपयोग की जा रही हैं का पता नहीं है तो मैं आपको सलाह दूंगा कि आप मूल पृष्ठ पर जाएं और कम से कम उस खंड को पढ़ें।

यह पोस्ट उस विचार पर आधारित है कि हमलावर को किसी प्रकार से शिकार के डोमेन नाम का अनुकरण करने की कोशिश करेगा। यदि आपका डोमेन उदाहरण.com कहलाता है और आपको किसी कारणवश youwonthelottery.com जैसे पूरी तरह से विभिन्न डोमेन नाम का उपयोग करके फिशिंग किया जाता है, तो ये तकनीकें इसे खोलने में सक्षम नहीं होंगी।

डोमेन नाम विविधताएँ

यह उस प्रकार के फिशिंग प्रयासों को खोलना सरल है जो ईमेल में एक समान डोमेन नाम का उपयोग करेंगे। यह पर्याप्त है कि एक हमलावर द्वारा उपयोग किए जाने वाले सबसे संभावित फिशिंग नामों की सूची बनाना और यह जांचना कि क्या यह रजिस्टर्ड है या केवल यह जांचना कि क्या कोई IP इसका उपयोग कर रहा है।

संदिग्ध डोमेन खोजना

इस उद्देश्य के लिए, आप निम्नलिखित उपकरणों में से किसी का उपयोग कर सकते हैं। ध्यान दें कि ये उपकरण डोमेन के साथ कोई भी IP सौंपने के लिए स्वचालित DNS अनुरोध भी करेंगे:

• dnstwist

• urlcrazy

बिटफ्लिपिंग

आप इस तकनीक की संक्षिप्त व्याख्या मूल पृष्ठ में देख सकते हैं। या मूल शोध को पढ़ें https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

उदाहरण के लिए, डोमेन microsoft.com में 1 बिट संशोधन इसे windnws.com. में बदल सकता है। हमलावर विक्टिम के संबंधित बिट-फ्लिपिंग डोमेन के रूप में जितने भी बिट-फ्लिपिंग डोमेन रजिस्टर कर सकते हैं ताकि वे वास्तविक उपयोगकर्ताओं को अपने बुनियादी संरचना पर पुनर्निर्देशित कर सकें।

सभी संभावित बिट-फ्लिपिंग डोमेन नामों का भी निगरानी में रखना चाहिए।

मौलिक जांच

जब आपके पास संभावित संदिग्ध डोमेन नामों की एक सूची होती है, तो आपको उन्हें (मुख्य रूप से पोर्ट HTTP और HTTPS) जांचना चाहिए कि क्या वे किसी भी विक्टिम के डोमेन के किसी लॉगिन फॉर्म का उपयोग कर रहे हैं। आप यह भी जांच सकते हैं कि क्या पोर्ट 3333 खुला है और gophish का एक उदाहरण चल रहा है। यह भी दिलचस्प है कि प्रत्येक पाए गए संदिग्ध डोमेन की उम्र कितनी है, जितनी युवा होगी, उतना ही जोखिमपूर्ण होगी। आप HTTP और/या HTTPS संदिग्ध वेब पृष्ठों की स्क्रीनशॉट भी ले सकते हैं ताकि यह संदिग्ध है या उस मामले में गहराई से देखने के लिए उसे एक्सेस कर सकें।

उन्नत जांच

यदि आप एक कदम आगे जाना चाहते हैं तो मैं आपको सलाह दूंगा कि आप अविश्वसनीय डोमेनों की निगरानी करें और समय-समय पर और अधिक खोजें (हर दिन? यह कुछ ही सेकंड/मिनट लेता है)। आपको उस संबंधित IPs के खुले पोर्ट की भी जांच करनी चाहिए और gophish या समान उपकरणों की खोज करनी चाहिए (हां, हमलावर भी गलतियाँ करते हैं) और संदिग्ध डोमेनों और सबडोमेन्स के HTTP और HTTPS वेब पृष्ठों की निगरानी करें ताकि यह देखें कि क्या वे विक्टिम के वेब पृष्ठों से किसी भी लॉगिन फॉर्म की कॉपी कर रहे हैं। इसे स्वचालित करने के लिए मैं आपको सलाह दूंगा कि आप विक्टिम के डोमेनों के लॉगिन फॉर्मों की एक सूची रखें, संदिग्ध वेब पृष्ठों को स्पाइडर करें और प्रत्येक संदिग्ध डोमेन के भीतर पाए गए प्रत्येक लॉगिन फॉर्म को ssdeep जैसी कुछ चीज का उपयोग करके विक्टिम के डोमेन के प्रत्येक लॉगिन फॉर्म के साथ प्रत्येक संदिग्ध डोमेन के प्रत्येक लॉगिन फॉर्म की तुलना करें। यदि आपने संदिग्ध डोमेनों के लॉगिन फॉर्म पाए हैं, तो आप जंक क्रेडेंशियल्स भेजने की कोशिश कर सकते हैं और देख सकते हैं कि क्या यह आपको विक्टिम के डोमेन पर पुनर्निर्देशित कर रहा है।

कीवर्ड का उपयोग करने वाले डोमेन नाम

मूल पृष्ठ ने भी एक डोमेन नाम विविधता तकनीक का उल्लेख किया है जिसमें शिकार के डोमेन नाम को एक बड़े डोमेन के अंदर डालने की तकनीक शामिल है (उदाहरण के लिए paypal.com के लिए paypal-financial.com)।

प्रमाणपत्र स्पष्टता

पिछले "ब्रूट-फोर्स" दृष्टिकोण को लेना संभव नहीं है, लेकिन वास्तव में इस प्रकार के फिशिंग प्रयासों को खोलना वास्तव में प्रमाणपत्र स्पष्टता