이 게시물은 **공격자가 피해자의 도메인 이름을 어떤 방식으로든 모방하거나 사용하려고 할 것**이라는 아이디어를 기반으로 합니다. 예를 들어, 도메인이 `example.com`인 경우 `youwonthelottery.com`과 같이 완전히 다른 도메인 이름을 사용하여 피싱당하는 경우, 이러한 기술은 이를 발견하지 못할 것입니다.
**이 기술에 대한 간단한 설명은 부모 페이지에서 찾을 수 있습니다. 또는 원본 연구를 읽어보세요. [https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/](https://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/)**
한 단계 더 나아가려면 수상한 도메인을 **정기적으로 모니터링하고 추가로 검색**하는 것을 권장합니다(매일? 몇 초/분이 걸립니다). 관련된 IP의 **열린 포트**를 확인하고 `gophish` 또는 유사한 도구의 인스턴스를 **검색**해야 합니다(네, 공격자도 실수를 저지를 수 있습니다). 또한 수상한 도메인 및 하위 도메인의 **HTTP 및 HTTPS 웹 페이지를 모니터링**하여 피해자의 웹 페이지에서 로그인 양식을 복사한 것이 있는지 확인해야 합니다.\
이를 **자동화**하기 위해 피해자의 도메인의 로그인 양식 목록을 갖고 있고, 수상한 웹 페이지를 스파이더링하고 수상한 도메인의 각 로그인 양식을 피해자의 도메인의 각 로그인 양식과 `ssdeep`와 같은 도구를 사용하여 비교하는 것이 좋습니다.\
수상한 도메인의 로그인 양식을 찾았다면, **잘못된 자격 증명을 보내고 해당 자격 증명이 피해자의 도메인으로 리디렉션되는지 확인**해 볼 수 있습니다.
이전의 "무차별 대입" 접근 방식은 불가능하지만, 인증서 투명성 덕분에 **이러한 피싱 시도를 발견하는 것이 가능**합니다. 인증서가 CA에 의해 발급될 때마다 세부 정보가 공개됩니다. 이는 인증서 투명성을 읽거나 모니터링함으로써 **이름 내에 키워드를 사용하는 도메인을 찾을 수 있다는 것을 의미**합니다. 예를 들어, 공격자가 [https://paypal-financial.com](https://paypal-financial.com)의 인증서를 생성한다면, 인증서를 보고 "paypal"이라는 키워드를 찾아 수상한 이메일이 사용되고 있는지 알 수 있습니다.
[https://0xpatrik.com/phishing-domains/](https://0xpatrik.com/phishing-domains/) 게시물은 Censys를 사용하여 특정 키워드를 검색하고 날짜(오직 "새로운" 인증서만)와 CA 발급자 "Let's Encrypt"로 필터링할 수 있다고 제안합니다:
**마지막 대안**은 몇 가지 TLD(최상위 도메인)에 대한 **새로 등록된 도메인 목록**을 수집하고, 이러한 도메인에서 **키워드를 확인하는 것**입니다 ([Whoxy](https://www.whoxy.com/newly-registered-domains/)가 이러한 서비스를 제공합니다). 그러나 긴 도메인은 일반적으로 하나 이상의 하위 도메인을 사용하므로 키워드는 FLD(First Level Domain) 내부에 나타나지 않으며, 피싱 하위 도메인을 찾을 수 없습니다.
