फ़िशिंग का पता लगाना

Reading time: 7 minutes

परिचय

फ़िशिंग प्रयास का पता लगाने के लिए यह महत्वपूर्ण है कि आप समझें कि आजकल कौन सी फ़िशिंग तकनीकें उपयोग की जा रही हैं। इस पोस्ट के मुख्य पृष्ठ पर, आप यह जानकारी पा सकते हैं, इसलिए यदि आप नहीं जानते कि आज कौन सी तकनीकें उपयोग की जा रही हैं, तो मैं आपको मुख्य पृष्ठ पर जाने और कम से कम उस अनुभाग को पढ़ने की सिफारिश करता हूँ।

यह पोस्ट इस विचार पर आधारित है कि हमलावर किसी न किसी तरह से पीड़ित के डोमेन नाम की नकल करने या उसका उपयोग करने की कोशिश करेंगे। यदि आपका डोमेन example.com है और आपको किसी कारण से एक पूरी तरह से अलग डोमेन नाम जैसे youwonthelottery.com का उपयोग करके फ़िश किया गया है, तो ये तकनीकें इसे उजागर नहीं करेंगी।

डोमेन नाम भिन्नताएँ

ईमेल के अंदर समान डोमेन नाम का उपयोग करने वाले फ़िशिंग प्रयासों को खोजना काफी आसान है।
यह हमलावर द्वारा उपयोग किए जाने वाले सबसे संभावित फ़िशिंग नामों की एक सूची बनाने के लिए पर्याप्त है और जांचें कि क्या यह पंजीकृत है या बस यह जांचें कि क्या इसका कोई IP है।

संदिग्ध डोमेन खोजना

इसके लिए, आप निम्नलिखित उपकरणों में से किसी का उपयोग कर सकते हैं। ध्यान दें कि ये उपकरण स्वचालित रूप से DNS अनुरोध भी करेंगे यह जांचने के लिए कि क्या डोमेन का कोई IP असाइन किया गया है:

• dnstwist
• urlcrazy

बिटफ्लिपिंग

आप इस तकनीक का संक्षिप्त विवरण मुख्य पृष्ठ पर पा सकते हैं। या पढ़ें मूल शोध https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/

उदाहरण के लिए, डोमेन microsoft.com में 1 बिट संशोधन इसे windnws.com में बदल सकता है।
हमलावर पीड़ित से संबंधित जितने संभव हो सके बिट-फ्लिपिंग डोमेन पंजीकृत कर सकते हैं ताकि वैध उपयोगकर्ताओं को अपनी अवसंरचना की ओर पुनर्निर्देशित किया जा सके।

सभी संभावित बिट-फ्लिपिंग डोमेन नामों की भी निगरानी की जानी चाहिए।

बुनियादी जांच

एक बार जब आपके पास संभावित संदिग्ध डोमेन नामों की एक सूची हो, तो आपको उन्हें जांचना चाहिए (मुख्य रूप से HTTP और HTTPS पोर्ट) यह देखने के लिए कि क्या वे पीड़ित के डोमेन के किसी लॉगिन फॉर्म का उपयोग कर रहे हैं।
आप पोर्ट 3333 की भी जांच कर सकते हैं यह देखने के लिए कि क्या यह खुला है और gophish का एक उदाहरण चला रहा है।
यह जानना भी दिलचस्प है कि प्रत्येक खोजे गए संदिग्ध डोमेन की उम्र कितनी है, जितना नया होगा उतना ही जोखिम भरा होगा।
आप संदिग्ध वेब पृष्ठ के HTTP और/या HTTPS के स्क्रीनशॉट भी ले सकते हैं यह देखने के लिए कि क्या यह संदिग्ध है और इस मामले में गहराई से देखने के लिए इसे एक्सेस करें।

उन्नत जांच

यदि आप एक कदम और आगे बढ़ना चाहते हैं, तो मैं आपको संदिग्ध डोमेन की निगरानी करने और समय-समय पर अधिक खोजने की सिफारिश करूंगा (हर दिन? इसमें केवल कुछ सेकंड/मिनट लगते हैं)। आपको संबंधित IPs के खुले पोर्ट्स की भी जांच करनी चाहिए और gophish या समान उपकरणों के उदाहरणों की खोज करनी चाहिए (हाँ, हमलावर भी गलतियाँ करते हैं) और संदिग्ध डोमेन और उपडोमेन के HTTP और HTTPS वेब पृष्ठों की निगरानी करनी चाहिए यह देखने के लिए कि क्या उन्होंने पीड़ित के वेब पृष्ठों से कोई लॉगिन फॉर्म कॉपी किया है।
इसको स्वचालित करने के लिए, मैं आपको पीड़ित के डोमेन के लॉगिन फॉर्म की एक सूची रखने, संदिग्ध वेब पृष्ठों को स्पाइडर करने और संदिग्ध डोमेन के अंदर पाए गए प्रत्येक लॉगिन फॉर्म की तुलना पीड़ित के डोमेन के प्रत्येक लॉगिन फॉर्म के साथ करने की सिफारिश करूंगा, जैसे कि ssdeep का उपयोग करके।
यदि आपने संदिग्ध डोमेन के लॉगिन फॉर्म का पता लगा लिया है, तो आप जंक क्रेडेंशियल्स भेजने और जांचने की कोशिश कर सकते हैं कि क्या यह आपको पीड़ित के डोमेन की ओर पुनर्निर्देशित कर रहा है।

कीवर्ड का उपयोग करने वाले डोमेन नाम

मुख्य पृष्ठ पर एक डोमेन नाम भिन्नता तकनीक का भी उल्लेख किया गया है जिसमें पीड़ित के डोमेन नाम को एक बड़े डोमेन के अंदर रखा जाता है (जैसे paypal-financial.com के लिए paypal.com)।

प्रमाणपत्र पारदर्शिता

पिछले "ब्रूट-फोर्स" दृष्टिकोण को अपनाना संभव नहीं है, लेकिन वास्तव में ऐसे फ़िशिंग प्रयासों का पता लगाना संभव है प्रमाणपत्र पारदर्शिता के कारण। हर बार जब एक प्रमाणपत्र CA द्वारा जारी किया जाता है, तो विवरण सार्वजनिक कर दिए जाते हैं। इसका मतलब है कि प्रमाणपत्र पारदर्शिता को पढ़कर या यहां तक कि इसकी निगरानी करके, ऐसे डोमेन खोजे जा सकते हैं जो अपने नाम के अंदर एक कीवर्ड का उपयोग कर रहे हैं। उदाहरण के लिए, यदि एक हमलावर https://paypal-financial.com का एक प्रमाणपत्र उत्पन्न करता है, तो प्रमाणपत्र को देखकर "paypal" कीवर्ड पाया जा सकता है और यह पता लगाया जा सकता है कि संदिग्ध ईमेल का उपयोग किया जा रहा है।

पोस्ट https://0xpatrik.com/phishing-domains/ सुझाव देती है कि आप Censys का उपयोग करके एक विशिष्ट कीवर्ड को प्रभावित करने वाले प्रमाणपत्रों की खोज कर सकते हैं और तिथि (केवल "नए" प्रमाणपत्र) और CA जारीकर्ता "Let's Encrypt" द्वारा फ़िल्टर कर सकते हैं:

हालांकि, आप मुफ्त वेब crt.sh का उपयोग करके "वही" कर सकते हैं। आप कीवर्ड के लिए खोज कर सकते हैं और यदि आप चाहें तो तारीख और CA द्वारा परिणामों को फ़िल्टर कर सकते हैं।

इस अंतिम विकल्प का उपयोग करते हुए, आप यहां तक कि फ़ील्ड मिलान पहचान का उपयोग कर सकते हैं यह देखने के लिए कि क्या वास्तविक डोमेन की कोई पहचान संदिग्ध डोमेन में से किसी से मेल खाती है (ध्यान दें कि एक संदिग्ध डोमेन एक झूठी सकारात्मक हो सकती है)।

एक और विकल्प शानदार प्रोजेक्ट CertStream है। CertStream नए उत्पन्न प्रमाणपत्रों का एक वास्तविक समय का प्रवाह प्रदान करता है जिसका उपयोग आप (नज़दीकी) वास्तविक समय में निर्दिष्ट कीवर्ड का पता लगाने के लिए कर सकते हैं। वास्तव में, एक प्रोजेक्ट है phishing_catcher जो यही करता है।

नए डोमेन

एक अंतिम विकल्प कुछ TLDs के लिए नए पंजीकृत डोमेन की एक सूची एकत्र करना है (Whoxy ऐसी सेवा प्रदान करता है) और इन डोमेन में कीवर्ड की जांच करना। हालाँकि, लंबे डोमेन आमतौर पर एक या अधिक उपडोमेन का उपयोग करते हैं, इसलिए कीवर्ड FLD के अंदर नहीं दिखाई देगा और आप फ़िशिंग उपडोमेन नहीं खोज पाएंगे।