Detecting Phishing

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite svoju kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu Proverite PLANOVE ZA PRIJAVU!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte Porodicu PEASS, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili pratite nas na Twitteru 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Uvod

Da biste otkrili pokušaj phishinga, važno je razumeti tehnike phishinga koje se danas koriste. Na roditeljskoj stranici ovog posta, možete pronaći te informacije, pa ako niste upoznati sa tehnikama koje se danas koriste, preporučujem vam da odete na roditeljsku stranicu i pročitate barem tu sekciju.

Ovaj post se zasniva na ideji da će napadači pokušati na neki način da oponašaju ili koriste ime domena žrtve. Ako je vaš domen nazvan primer.com i ako ste prevareni korišćenjem potpuno drugačijeg imena domena iz nekog razloga kao što je osvojiliste.com, ove tehnike to neće otkriti.

Varijacije imena domena

Prilično je jednostavno otkriti te pokušaje phishinga koji će koristiti slično ime domena unutar emaila. Dovoljno je generisati listu najverovatnijih phishing imena koje bi napadač mogao koristiti i proveriti da li je registrovano ili jednostavno proveriti da li postoji neka IP adresa koja ga koristi.

Pronalaženje sumnjivih domena

Za tu svrhu, možete koristiti bilo koji od sledećih alata. Imajte na umu da će ovi alati automatski izvršiti DNS zahteve kako bi proverili da li je domen dodeljen nekoj IP adresi:

Bitflipping

Možete pronaći kratko objašnjenje ove tehnike na roditeljskoj stranici. Ili pročitajte originalno istraživanje na https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

Na primer, modifikacija od 1 bit u domenu microsoft.com može ga transformisati u windnws.com. Napadači mogu registrovati što više bit-flipping domena moguće povezanih sa žrtvom kako bi preusmerili legitimne korisnike na svoju infrastrukturu.

Sva moguća imena bit-flipping domena takođe bi trebalo pratiti.

Osnovne provere

Kada imate listu potencijalno sumnjivih imena domena, trebalo bi da ih proverite (pretežno portove HTTP i HTTPS) da biste videli da li koriste neki obrazac za prijavljivanje sličan nekom od domena žrtve. Takođe možete proveriti port 3333 da vidite da li je otvoren i pokreće instancu gophish. Takođe je interesantno znati koliko je star svaki otkriven sumnjivi domen, što je mlađi, to je rizičniji. Možete takođe dobiti slike ekrana sumnjive HTTP i/ili HTTPS web stranice da biste videli da li je sumnjiva i u tom slučaju pristupiti joj da biste detaljnije pogledali.

Napredne provere

Ako želite da odete korak dalje, preporučio bih vam da pratite te sumnjive domene i povremeno tražite više (svaki dan? to traje samo nekoliko sekundi/minuta). Takođe biste trebali proveriti otvorene portove povezanih IP adresa i tražiti instance gophish ili slične alate (da, i napadači prave greške) i pratiti HTTP i HTTPS web stranice sumnjivih domena i poddomena da biste videli da li su kopirali neki obrazac za prijavljivanje sa web stranica žrtve. Da biste automatizovali ovo, preporučio bih da imate listu obrazaca za prijavljivanje domena žrtve, da pretražite sumnjive web stranice i uporedite svaki pronađeni obrazac za prijavljivanje unutar sumnjivih domena sa svakim obrazcem za prijavljivanje domena žrtve koristeći nešto poput ssdeep. Ako ste locirali obrasce za prijavljivanje sumnjivih domena, možete pokušati da pošaljete lažne podatke za prijavljivanje i proverite da li vas preusmerava na domen žrtve.

Imena domena sa ključnim rečima

Roditeljska stranica takođe pominje tehniku varijacije imena domena koja se sastoji od stavljanja imenja domena žrtve unutar većeg domena (npr. paypal-financial.com za paypal.com).

Transparentnost sertifikata

Nije moguće primeniti prethodni "Brute-Force" pristup, ali je zapravo moguće otkriti takve pokušaje phishinga zahvaljujući transparentnosti sertifikata. Svaki put kada sertifikat izda CA, detalji postaju javni. To znači da čitanjem transparentnosti sertifikata ili čak praćenjem istog, je moguće pronaći domene koji koriste ključnu reč unutar svog imena Na primer, ako napadač generiše sertifikat za https://paypal-financial.com, čitanjem sertifikata je moguće pronaći ključnu reč "paypal" i znati da se koristi sumnjiva email adresa.

Post https://0xpatrik.com/phishing-domains/ sugeriše da možete koristiti Censys da pretražujete sertifikate koji utiču na određenu ključnu reč i filtrirati po datumu (samo "novi" sertifikati) i po izdavaču CA "Let's Encrypt":

Međutim, možete "isto" uraditi koristeći besplatan web crt.sh. Možete pretraživati po ključnoj reči i filtrirati rezultate po datumu i CA ako želite.

Koristeći ovu poslednju opciju, čak možete koristiti polje Matching Identities da biste videli da li se bilo koja identifikacija sa pravog domena poklapa sa bilo kojim od sumnjivih domena (imajte na umu da sumnjiv domen može biti lažno pozitivan).

Još jedna alternativa je fantastični projekat nazvan CertStream. CertStream pruža real-time tok novo generisanih sertifikata koje možete koristiti da biste detektovali određene ključne reči u (skoro) realnom vremenu. Zapravo, postoji projekat nazvan phishing_catcher koji upravo to radi.

Novi domeni

Još jedna alternativa je prikupljanje liste nedavno registrovanih domena za neke TLD-ove (Whoxy pruža takvu uslugu) i provera ključnih reči u tim domenima. Međutim, dugi domeni obično koriste jedan ili više poddomena, stoga ključna reč neće se pojaviti unutar FLD i nećete moći pronaći phishing poddomen.

PreviousClone a Website NextPhishing Files & Documents

Last updated 3 days ago