Detecting Phishing

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити вашу компанію рекламовану в HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Дізнайтеся про Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.

Вступ

Для виявлення спроби фішингу важливо розуміти техніки фішингу, які використовуються в наш час. На батьківській сторінці цього поста ви можете знайти цю інформацію, тому якщо ви не знаєте, які техніки використовуються сьогодні, я рекомендую вам перейти на батьківську сторінку і прочитати принаймні цей розділ.

Цей пост базується на ідеї, що зловмисники спробують якимось чином імітувати або використовувати доменне ім'я жертви. Якщо ваш домен називається example.com, а вас підставляють, використовуючи зовсім інше доменне ім'я, наприклад, youwonthelottery.com, ці техніки не виявлять це.

Варіації доменних імен

Досить легко виявити ті спроби фішингу, які використовують схоже доменне ім'я в листі. Достатньо створити список найбільш ймовірних фішингових імен, які може використовувати зловмисник, і перевірити, чи вони зареєстровані, або просто перевірити, чи є IP-адреса, яка їх використовує.

Пошук підозрілих доменів

Для цієї цілі ви можете використовувати будь-які з наступних інструментів. Зверніть увагу, що ці інструменти також автоматично виконуватимуть запити DNS, щоб перевірити, чи домен має призначений для нього IP-адресу:

Бітовий зсув

Ви можете знайти короткий опис цієї техніки на батьківській сторінці. Або прочитайте оригінальне дослідження за посиланням https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

Наприклад, зміна 1 біта в домені microsoft.com може перетворити його на windnws.com. Зловмисники можуть зареєструвати якомога більше доменів з бітовим зсувом, пов'язаних з жертвою, щоб перенаправити законних користувачів на свою інфраструктуру.

Всі можливі доменні імена з бітовим зсувом також слід моніторити.

Основні перевірки

Після того, як у вас є список потенційно підозрілих доменних імен, ви повинні перевірити їх (головним чином порти HTTP і HTTPS), щоб переконатися, чи вони використовують якусь форму входу, схожу на ту, що використовується на домені жертви. Ви також можете перевірити порт 3333, щоб переконатися, чи він відкритий і запущений екземпляр gophish. Також цікаво знати, наскільки старий кожен виявлений підозрілий домен, чим молодший він, тим більше ризику. Ви також можете отримати знімки екрану веб-сторінки з HTTP і/або HTTPS, щоб переконатися, чи вона виглядає підозріло, і в такому випадку зайти на неї, щоб докладніше розглянути.

Розширені перевірки

Якщо ви хочете піти далі, я б рекомендував вам моніторити ці підозрілі домени та шукати ще час від часу (кожен день? це займає лише кілька секунд/хвилин). Ви також повинні перевірити відкриті порти пов'язаних IP-адрес та шукати екземпляри gophish або подібні інструменти (так, зловмисники також допускають помилки) та моніторити HTTP та HTTPS веб-сторінки підозрілих доменів та піддоменів, щоб переконатися, чи вони скопіювали яку-небудь форму входу з веб-сторінок жертви. Для автоматизації цього я б рекомендував мати список форм входу доменів жертви, просканувати підозрілі веб-сторінки та порівняти кожну знайдену форму входу в підозрілих доменах з кожною формою входу домену жертви, використовуючи щось на кшталт ssdeep. Якщо ви знайшли форми входу на підозрілих доменах, ви можете спробувати надіслати недійсні облікові дані та перевірити, чи вас перенаправляє на домен жертви.

Доменні імена з використанням ключових слів

Батьківська сторінка також згадує техніку варіації доменного імені, яка полягає в тому, що доменне ім'я жертви поміщається всередині більшого домену (наприклад, paypal-financial.com для paypal.com).

Прозорість сертифікатів

Не можна використовувати попередній підхід "Брутфорс", але насправді можна виявити такі спроби фішингу також завдяки прозорості сертифікатів. Кожного разу, коли сертифікат виданий ЦС, деталі стають відкритими. Це означає, що, читаючи прозорість сертифікатів або навіть моніторячи її, можна знайти домени, які використовують ключове слово у своєму імені Наприклад, якщо зловмисник генерує сертифікат для https://paypal-financial.com, переглядаючи сертифікат, можна знайти ключове слово "paypal" і знати, що використовується підозрілий електронний лист.

Пост https://0xpatrik.com/phishing-domains/ пропонує використовувати Censys для пошуку сертифікатів, які впливають на певне ключове слово та фільтрувати за датою (лише "нові" сертифікати) та за видавцем ЦС "Let's Encrypt":

Однак ви можете зробити "теж саме" за допомогою безкоштовного веб-сайту crt.sh. Ви можете шукати за ключовим словом та фільтрувати результати за датою та ЦС, якщо бажаєте.

Використовуючи цей варіант, ви навіть можете використовувати поле Matching Identities, щоб переконатися, чи співпадає яка-небудь ідентичність з реальним доменом з будь-якими підозрілими доменами (зверніть увагу, що підозрілий домен може бути помилковим позитивом).

Інша альтернатива - це фантастичний проект під назвою CertStream. CertStream надає потік нових створених сертифікатів, які можна використовувати для виявлення вказаних ключових слів в (приблизно) реальному часі. Фактично, існує проект під назвою phishing_catcher, який робить саме це.

Нові домени

Остання альтернатива - зібрати список недавно зареєстрованих доменів для деяких TLD (Whoxy надає такий сервіс) і перевірити ключові слова в цих доменах. Однак довгі домени зазвичай використовують один або кілька піддоменів, тому ключове слово не з'явиться всередині FLD, і ви не зможете знайти фішинговий піддомен.

PreviousClone a Website NextPhishing Files & Documents

Last updated 1 month ago