フィッシングの検出

Reading time: 10 minutes

はじめに

フィッシングの試みを検出するには、現在使用されているフィッシング技術を理解することが重要です。この投稿の親ページにはこの情報があるので、今日使用されている技術について知らない場合は、親ページに行って少なくともそのセクションを読むことをお勧めします。

この投稿は、攻撃者が被害者のドメイン名を何らかの形で模倣または使用しようとするという考えに基づいています。あなたのドメインが example.com と呼ばれ、何らかの理由で youwonthelottery.com のような全く異なるドメイン名でフィッシングされる場合、これらの技術ではそれを明らかにすることはできません。

ドメイン名のバリエーション

メール内で類似のドメイン名を使用するフィッシングの試みを明らかにするのは比較的簡単です。
攻撃者が使用する可能性のある最も考えられるフィッシング名のリストを生成し、それが登録されているか、またはそのIPが使用されているかを確認するだけで十分です。

疑わしいドメインの発見

この目的のために、以下のツールのいずれかを使用できます。これらのツールは、ドメインにIPが割り当てられているかどうかを自動的に確認するDNSリクエストも実行します：

• dnstwist
• urlcrazy

ビットフリッピング

この技術の簡単な説明は親ページにあります。あるいは、 https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/ で元の研究を読むことができます。

例えば、ドメイン microsoft.com の1ビットの変更は、windnws.com に変換できます。
攻撃者は、被害者に関連するビットフリッピングドメインをできるだけ多く登録し、正当なユーザーを自分のインフラにリダイレクトさせることができます。

すべての可能なビットフリッピングドメイン名も監視する必要があります。

基本的なチェック

潜在的な疑わしいドメイン名のリストができたら、それらをチェックする必要があります（主にHTTPおよびHTTPSポート）被害者のドメインの誰かに似たログインフォームを使用しているかどうかを確認するために。
ポート3333が開いていて gophish のインスタンスが稼働しているかどうかも確認できます。
発見された疑わしいドメインがどれくらい古いかを知ることも興味深いです。若いほどリスクが高くなります。
疑わしいウェブページのHTTPおよび/またはHTTPSのスクリーンショットを取得して、それが疑わしいかどうかを確認し、その場合はアクセスして詳しく見ることができます。

高度なチェック

さらに一歩進みたい場合は、疑わしいドメインを監視し、時々（毎日？数秒/分しかかかりません）さらに検索することをお勧めします。関連するIPのオープンポートもチェックし、gophish や類似のツールのインスタンスを検索することも必要です（はい、攻撃者も間違いを犯します）し、疑わしいドメインおよびサブドメインのHTTPおよびHTTPSウェブページを監視して、被害者のウェブページからログインフォームをコピーしているかどうかを確認します。
これを自動化するために、被害者のドメインのログインフォームのリストを持ち、疑わしいウェブページをスパイダーし、疑わしいドメイン内で見つかった各ログインフォームを被害者のドメインの各ログインフォームと比較するために ssdeep のようなものを使用することをお勧めします。
疑わしいドメインのログインフォームを特定した場合、ジャンククレデンシャルを送信し、被害者のドメインにリダイレクトされるかどうかを確認できます。

キーワードを使用したドメイン名

親ページでは、被害者のドメイン名をより大きなドメイン内に入れるというドメイン名のバリエーション技術についても言及しています（例：paypal-financial.com は paypal.com のためのものです）。

証明書の透明性

前述の「ブルートフォース」アプローチを取ることはできませんが、実際にはそのようなフィッシングの試みを明らかにすることも可能です。CAによって証明書が発行されるたびに、詳細が公開されます。これは、証明書の透明性を読み取ることや監視することで、名前の中にキーワードを使用しているドメインを見つけることが可能であることを意味します。例えば、攻撃者が https://paypal-financial.com の証明書を生成した場合、証明書を見ることで「paypal」というキーワードを見つけ、疑わしいメールが使用されていることを知ることができます。

投稿 https://0xpatrik.com/phishing-domains/ では、特定のキーワードに影響を与える証明書を検索し、日付（「新しい」証明書のみ）およびCA発行者「Let's Encrypt」でフィルタリングするためにCensysを使用できると提案しています：

ただし、無料のウェブ crt.sh を使用して「同じこと」を行うこともできます。キーワードを検索し、結果を日付とCAでフィルタリングすることができます。

この最後のオプションを使用すると、Matching Identitiesフィールドを使用して、実際のドメインのいずれかのアイデンティティが疑わしいドメインのいずれかと一致するかどうかを確認できます（疑わしいドメインは偽陽性である可能性があることに注意してください）。

もう一つの代替手段は、CertStreamという素晴らしいプロジェクトです。CertStreamは、新しく生成された証明書のリアルタイムストリームを提供し、指定されたキーワードを（ほぼ）リアルタイムで検出するために使用できます。実際、phishing_catcherというプロジェクトがあり、まさにそれを行います。

新しいドメイン

最後の代替手段は、いくつかのTLDの新しく登録されたドメインのリストを収集し、これらのドメイン内のキーワードを確認することです。ただし、長いドメインは通常1つ以上のサブドメインを使用するため、キーワードはFLD内に表示されず、フィッシングサブドメインを見つけることはできません。