Detecting Phishing

Jifunze udukuzi wa AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Ikiwa unataka kuona kampuni yako ikitangazwa kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MIPANGO YA KUJIUNGA!
Pata bidhaa rasmi za PEASS & HackTricks
Gundua Familia ya PEASS, mkusanyiko wetu wa kipekee wa NFTs
Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @hacktricks_live.
Shiriki mbinu zako za udukuzi kwa kuwasilisha PRs kwa HackTricks na HackTricks Cloud repos za github.

Utangulizi

Kugundua jaribio la udukuzi ni muhimu kuelewa mbinu za udukuzi zinazotumiwa leo. Kwenye ukurasa wa mzazi wa chapisho hili, unaweza kupata habari hii, kwa hivyo ikiwa haujui ni mbinu gani zinazotumiwa leo, nakushauri uende kwenye ukurasa wa mzazi na usome angalau sehemu hiyo.

Chapisho hili linategemea wazo kwamba wahalifu watjaribu kwa njia fulani kufanana au kutumia jina la kikoa cha muathiriwa. Ikiwa kikoa chako kinaitwa mfano.com na unadukuliwa ukitumia kikoa tofauti kabisa kwa sababu fulani kama umeshindalottery.com, mbinu hizi hazitafunua hilo.

Mabadiliko ya Majina ya Kikoa

Ni rahisi kufunua jaribio la udukuzi ambalo litatumia jina la kikoa linalofanana ndani ya barua pepe. Inatosha kuunda orodha ya majina ya udukuzi yanayoweza kutumiwa na mshambuliaji na kuangalia ikiwa ime sajiliwa au tu kuangalia ikiwa kuna IP inayotumia.

Kupata vikoa vinavyoshukiwa

Kwa madhumuni haya, unaweza kutumia moja ya zana zifuatazo. Kumbuka kuwa zana hizi pia zitafanya maombi ya DNS kiotomatiki kuchunguza ikiwa kikoa kina IP yoyote iliyopewa:

Bitflipping

Unaweza kupata maelezo mafupi ya mbinu hii kwenye ukurasa wa mzazi. Au soma utafiti halisi kwenye https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

Kwa mfano, mabadiliko ya bit 1 kwenye kikoa cha microsoft.com yanaweza kugeuza kuwa windnws.com. Wahalifu wanaweza kusajili vikoa vingi vya bit-flipping iwezekanavyo vinavyohusiana na muathiriwa kupeleka watumiaji halali kwenye miundombinu yao.

Vikoa vyote vinavyowezekana vya bit-flipping pia vinapaswa kufuatiliwa.

Uchunguzi wa Msingi

Unapokuwa na orodha ya majina ya udukuzi yanayowezekana unapaswa kuwachunguza (hasa bandari za HTTP na HTTPS) kuona ikiwa wanatumia fomu ya kuingia inayofanana na moja ya kikoa cha muathiriwa. Unaweza pia kuangalia bandari 3333 kuona ikiwa imefunguliwa na inaendesha kipengee cha gophish. Ni muhimu pia kujua umri wa kila kikoa cha shaka kilichogunduliwa, kadri inavyokuwa mchanga ndivyo hatari zaidi. Unaweza pia kupata picha za skrini za ukurasa wa wavuti wa HTTP na/au HTTPS wa shaka kuona ikiwa ni shaka na kesi hiyo ufikie kuangalia kwa undani.

Uchunguzi wa Kina

Ikiwa unataka kwenda hatua moja mbele ningependekeza kufuatilia vikoa hivyo vya shaka na kutafuta zaidi mara kwa mara (kila siku? inachukua sekunde/dakika chache tu). Unapaswa pia kuangalia bandari zilizofunguliwa za IP zinazohusiana na tafuta mifano ya gophish au zana kama hizo (ndio, wahalifu pia hufanya makosa) na kufuatilia kurasa za wavuti za HTTP na HTTPS za vikoa vya shaka na subdomains kuona ikiwa wameiga fomu yoyote ya kuingia kutoka kwenye kurasa za wavuti za muathiriwa. Ili kutumia hii kiotomatiki ningependekeza kuwa na orodha ya fomu za kuingia za vikoa vya muathiriwa, kutambaa kurasa za wavuti za shaka na kulinganisha kila fomu ya kuingia iliyopatikana ndani ya vikoa vya shaka na kila fomu ya kuingia ya kikoa cha muathiriwa kwa kutumia kitu kama ssdeep. Ikiwa umepata fomu za kuingia za vikoa vya shaka, unaweza kujaribu kupeleka vitambulisho visivyo sahihi na kuangalia ikiwa inakurejesha kwenye kikoa cha muathiriwa.

Majina ya Kikoa yanayotumia Maneno muhimu

Ukurasa wa mzazi pia unataja mbinu ya mabadiliko ya jina la kikoa ambayo inajumuisha kuweka jina la kikoa la muathiriwa ndani ya kikoa kubwa (k.m. paypal-financial.com kwa paypal.com).

Uwazi wa Cheti

Haiwezekani kuchukua njia ya awali ya "Brute-Force" lakini ni kweli inawezekana kufunua majaribio kama hayo ya udukuzi pia shukrani kwa uwazi wa cheti. Kila wakati cheti kinapotolewa na CA, maelezo yanafanywa kuwa ya umma. Hii inamaanisha kwamba kwa kusoma uwazi wa cheti au hata kufuatilia, ni inawezekana kupata vikoa vinavyotumia neno muhimu ndani ya jina lake Kwa mfano, ikiwa mshambuliaji anazalisha cheti cha https://paypal-financial.com, kwa kuona cheti ni rahisi kupata neno muhimu "paypal" na kujua kuwa barua pepe ya shaka inatumika.

Chapisho https://0xpatrik.com/phishing-domains/ inapendekeza unaweza kutumia Censys kutafuta vyeti vinavyoathiri neno maalum na kufuta kwa tarehe (vyeti "vipya" tu) na kwa mtoaji wa CA "Let's Encrypt":

Hata hivyo, unaweza kufanya "vilevile" kwa kutumia wavuti huru crt.sh. Unaweza kutafuta neno muhimu na kufuta matokeo kwa tarehe na CA ikiwa unataka.

Kwa kutumia chaguo hili la mwisho unaweza hata kutumia uga wa Kulinganisha Utambulisho kuona ikiwa utambulisho wowote kutoka kwa kikoa halisi unalingana na moja ya vikoa vya shaka (kumbuka kwamba kikoa cha shaka kinaweza kuwa chanya ya uwongo).

Chaguo lingine ni mradi mzuri unaoitwa CertStream. CertStream hutoa mtiririko wa moja kwa moja wa vyeti vilivyozalishwa hivi karibuni ambavyo unaweza kutumia kugundua maneno maalum (karibu) kwa wakati halisi. Kwa kweli, kuna mradi unaitwa phishing_catcher ambao unafanya hivyo.

Domeini mpya

Chaguo la mwisho ni kukusanya orodha ya domeini zilizosajiliwa hivi karibuni kwa baadhi ya TLDs (Whoxy hutoa huduma kama hiyo) na kuchunguza maneno muhimu katika domeini hizi. Hata hivyo, domeini ndefu kawaida hutumia moja au zaidi ya subdomain, hivyo neno muhimu halitaonekana ndani ya FLD na hutaweza kupata subdomain ya ulaghai.

PreviousClone a Website NextPhishing Files & Documents

Last updated 3 days ago