Upgrade to Pro — share decks privately, control downloads, hide ads and more …

フィッシングサイトをテイクダウンする方法

phishing-hunter
February 16, 2023
660

 フィッシングサイトをテイクダウンする方法

サイトクローン検出ツール:
https://github.com/phishing-hunter/phishing-blocker
スコアリングとYaraルール:
https://github.com/phishing-hunter/PHOps
---------------------------------------------------------------------------
他にも以下のツールやサービスを提供しております

フィッシングサイト通知サービス「フィッシングハンター」
http://phishing-hunter.com/

類似ドメイン検索サイト
http://demo.phishing-hunter.com/

phishing-hunter

February 16, 2023
Tweet

Transcript

  1. よくあるフィッシング詐欺の流れ • 攻撃者はホスティングサーバーを購入する
 • 購入したサーバにフィッシングキットをアップロードしセットアップする
 • 動作確認を完了させた攻撃者は潜在的な被害者に大量のフィッシングメールを送信する
 • 被害者はフィッング ページにアクセスして資格情報を入力する


    • フィッシング キットは資格情報を処理し、外部の電子メール アカウントに送信する
 • 最後に、攻撃者はこの電子メール アカウントにアクセスし、資格情報を収集する 参考: https://www.imperva.com/blog/our-analysis-of-1019-phishing-kits/
  2. フィッシングサイトを構築段階で検出する方法 • 公開されたログのビッグデータ解析を行い、フィッシングに使われる手法が含まれ たドメインを抽出しサーバ上のコンテンツを確認 • 「Index of 」のようなキーワードがHTMLコンテンツに含まれているか確認 • 構築段階でアクセスできれば、攻撃者がサーバに置いたばかりのフィッシングキッ

    トを入手できることがある • 構築段階ではアクセス元を制御する設定がされていない場合が多いため、フィッシ ングキットのログに残らないようにアクセスすることが可能 キットのアップロード キットのダウンロード 攻撃者
  3. Github Actionsを使ったスコアリングルールの検証 phishing-hunter/PHOps docker pull トリガー: push 個人リポジトリ トリガー: push


    1.Fork 3.Pull Request 2. Git push PRが承認されマージが行われたタイミングが workflowが実行される トリガーがpushなので、リポジトリの所有者が workflowを実行する(クレジットを消費する )