Detecting Phishing
導入
フィッシング試行を検出するには、現在使用されているフィッシング技術を理解することが重要です。この投稿の親ページには、その情報が記載されていますので、今日使用されている技術がわからない場合は、親ページに移動して少なくともそのセクションを読むことをお勧めします。
この投稿は、攻撃者がなんらかの方法で被害者のドメイン名を模倣したり使用することを試みるという考えに基づいています。たとえば、あなたのドメインがexample.com
と呼ばれ、youwonthelottery.com
のように完全に異なるドメイン名を使用してフィッシングされた場合、これらの技術はそれを発見しません。
ドメイン名の変種
メール内で類似したドメイン名を使用するフィッシング試行を発見するのは簡単です。 攻撃者が使用する可能性のある最もありそうなフィッシング名のリストを生成し、それが登録されているかどうかをチェックするだけで十分です。
疑わしいドメインの検出
この目的のために、次のツールのいずれかを使用できます。これらのツールは、ドメインにIPが割り当てられているかどうかを自動的にチェックするため、DNSリクエストも実行します:
ビットフリップ
この技術の短い説明は親ページにあります。または、元の研究を https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/ で読むことができます。
たとえば、ドメインmicrosoft.comの1ビットの変更は、_windnws.com._に変換できます。 攻撃者は、被害者に関連するであろうビットフリップドメインをできるだけ多く登録して、合法的なユーザーを自分たちのインフラストラクチャにリダイレクトすることができます。
すべての可能なビットフリップドメイン名も監視する必要があります。
基本的なチェック
潜在的な疑わしいドメイン名のリストができたら、それらを(主にHTTPとHTTPSのポート)チェックして、それが被害者のドメインのいずれかに似たログインフォームを使用しているかどうかを確認するべきです。
ポート3333もチェックして、gophish
のインスタンスが実行されているかどうかを確認できます。
また、発見された疑わしいドメインの年齢を知ることも興味深いです。若ければ若いほど、リスクが高くなります。
HTTPおよび/またはHTTPSの疑わしいWebページのスクリーンショットを取得して、それが疑わしいかどうかを確認し、その場合は詳細を見るためにアクセスすることも重要です。
高度なチェック
さらに進む場合は、定期的に(毎日?数秒/数分しかかかりません)これらの疑わしいドメインを監視し、さらに検索することをお勧めします。関連するIPのオープンポートをチェックし、gophish
や類似のツールのインスタンスを検索します(はい、攻撃者も間違えます)そして、疑わしいドメインとサブドメインのHTTPおよびHTTPSのWebページを監視して、被害者のWebページからログインフォームをコピーしているかどうかを確認します。
これを自動化するためには、被害者のドメインのログインフォームのリストを持っておくことをお勧めします。疑わしいWebページをスパイダリングし、ssdeep
のようなものを使用して、疑わしいドメイン内で見つかった各ログインフォームを被害者のドメインの各ログインフォームと比較します。
疑わしいドメインのログインフォームを特定した場合、ダミーの資格情報を送信して、被害者のドメインにリダイレクトされるかどうかを確認できます。
キーワードを使用したドメイン名
親ページでは、被害者のドメイン名をより大きなドメイン(たとえばpaypal.comのpaypal-financial.com)に入れるというドメイン名の変種技術も言及されています。
証明書透明性
以前の「ブルートフォース」アプローチを取ることはできませんが、証明書透明性のおかげで、そのようなフィッシング試行を発見することが可能です。CAによって証明書が発行されるたびに、詳細が公開されます。これは、証明書透明性を読んだり、監視したりすることで、名前にキーワードを使用しているドメインを見つけることが可能です。たとえば、攻撃者がhttps://paypal-financial.comの証明書を生成した場合、証明書を見ることで「paypal」というキーワードを見つけ、疑わしいメールが使用されていることがわかります。
https://0xpatrik.com/phishing-domains/の投稿では、特定のキーワードに影響を与える証明書を検索し、日付(「新しい」証明書のみ)とCA発行者「Let's Encrypt」でフィルタリングするためにCensysを使用できると述べています:
ただし、無料のWeb crt.shを使用して「同じ」ことができます。必要に応じて、キーワードを検索し、結果を日付とCAでフィルタリングできます。
この最後のオプションを使用すると、実際のドメインの一致するアイデンティティが疑わしいドメインのいずれかと一致するかどうかを確認できます(疑わしいドメインが誤検知される可能性があることに注意してください)。
別の選択肢は、CertStreamという素晴らしいプロジェクトです。CertStreamは、新しく生成された証明書のリアルタイムストリームを提供し、指定されたキーワードを(ほぼ)リアルタイムで検出するために使用できます。実際、phishing_catcherというプロジェクトがそれを行っています。
新しいドメイン
最後の代替手段は、いくつかのTLD(Whoxyがそのようなサービスを提供)の新しく登録されたドメインのリストを収集し、これらのドメイン内のキーワードをチェックすることです。ただし、長いドメインは通常、1つ以上のサブドメインを使用するため、キーワードはFLD内に表示されず、フィッシングサブドメインを見つけることができません。
Last updated