hacktricks/generic-methodologies-and-resources/phishing-methodology/detecting-phising.md

フィッシングの検出

htARTE（HackTricks AWS Red Team Expert） でAWSハッキングをゼロからヒーローまで学ぶ！

HackTricksをサポートする他の方法：

• HackTricksで企業を宣伝したい場合やHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
• 公式PEASS＆HackTricksスウェグを入手
• The PEASS Familyを発見し、独占的なNFTsのコレクション
• 💬 Discordグループに参加するか、telegramグループに参加するか、Twitter 🐦で私たちをフォローする：@hacktricks_live。
• HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有してください。

はじめに

フィッシング試行を検出するには、現在使用されているフィッシング技術を理解することが重要です。この投稿の親ページには、この情報が記載されていますので、今日使用されている技術がわからない場合は、親ページに移動して少なくともそのセクションを読むことをお勧めします。

この投稿は、攻撃者がなんらかの方法で被害者のドメイン名を模倣または使用しようとするという考えに基づいています。たとえば、あなたのドメインがexample.comと呼ばれ、youwonthelottery.comのような完全に異なるドメイン名を使用してフィッシングされた場合、これらの技術はそれを発見しません。

ドメイン名の変種

メール内で類似したドメイン名を使用するフィッシング試行を発見するのは簡単です。
攻撃者が使用する可能性のある最もありそうなフィッシング名のリストを生成し、それが登録されているかどうかをチェックするだけで十分です。

疑わしいドメインの検出

この目的のために、次のツールのいずれかを使用できます。これらのツールは、ドメインにIPが割り当てられているかどうかを自動的にチェックするため、DNSリクエストも実行します：

• dnstwist
• urlcrazy

ビットフリップ

この技術の短い説明は親ページにあります。または、オリジナルの研究をhttps://www.bleepingcomputer.com/news/security/hijacking-traffic-to-microsoft-s-windowscom-with-bitflipping/で読むことができます

たとえば、ドメインmicrosoft.comの1ビットの変更は、_windnws.com._に変換できます。
攻撃者は、被害者に関連するビットフリップドメインを可能な限り登録して、合法的なユーザーを自分たちのインフラストラクチャにリダイレクトする可能性があります。

すべての可能なビットフリップドメイン名も監視されるべきです。

基本的なチェック

潜在的な疑わしいドメイン名のリストができたら、それらを（主にHTTPおよびHTTPSのポート）チェックして、被害者のドメインのいずれかに似たログインフォームを使用しているかどうかを確認する必要があります。
ポート3333もチェックして、gophishのインスタンスが実行されているかどうかを確認できます。
また、発見された疑わしいドメインの年齢を知ることも興味深いです。若ければリスクが高まります。
HTTPおよび/またはHTTPSの疑わしいWebページのスクリーンショットを取得して、疑わしいかどうかを確認し、その場合はアクセスして詳しく調べることもできます。

高度なチェック

さらに進む場合は、定期的に（毎日？数秒/数分しかかかりません）これらの疑わしいドメインを監視し、さらに検索することをお勧めします。関連するIPのオープンポートをチェックし、gophishや類似のツールのインスタンスを検索します（はい、攻撃者も間違えます）そして、疑わしいドメインとサブドメインのHTTPおよびHTTPSのWebページを監視して、被害者のWebページからログインフォームをコピーしているかどうかを確認します。
これを自動化するためには、被害者のドメインのログインフォームのリストを持っておくことをお勧めし、疑わしいWebページをスパイダリングして、各疑わしいドメイン内で見つかったログインフォームをssdeepのようなものを使用して被害者のドメインの各ログインフォームと比較します。
疑わしいドメインのログインフォームを特定した場合は、ダミーの資格情報を送信して、被害者のドメインにリダイレクトされるかどうかを確認できます。

キーワードを使用したドメイン名

親ページでは、被害者のドメイン名をより大きなドメイン（たとえばpaypal.comのpaypal-financial.com）に入れるというドメイン名の変種技術についても言及されています。

証明書透明性

以前の「ブルートフォース」アプローチを取ることはできませんが、証明書透明性のおかげで、キーワードを使用したフィッシング試行を発見することが実際に可能です。CAによって証明書が発行されるたびに、詳細が公開されます。これは、証明書透明性を読んだり、監視したりすることで、名前にキーワードを使用しているドメインを見つけることができることを意味します。たとえば、攻撃者がhttps://paypal-financial.comの証明書を生成した場合、証明書を見ることで「paypal」というキーワードを見つけ、疑わしいメールが使用されていることがわかります。

投稿https://0xpatrik.com/phishing-domains/では、特定のキーワードに影響を与える証明書を検索し、日付（「新しい」証明書のみ）とCA発行者「Let's Encrypt」でフィルタリングするためにCensysを使用できると述べています：

ただし、無料のWeb crt.shを使用して「同じ」ことができます。キーワードを検索し、必要に応じて結果を日付とCAでフィルタリングできます。

この最後のオプションを使用すると、実際のドメインのいずれかのアイデンティティが疑わしいドメインのいずれかと一致するかどうかを確認するために、一致するアイデンティティフィールドを使用できます（疑わしいドメインが誤検知される可能性があることに注意してください）。

別の選択肢は、CertStreamという素晴らしいプロジェクトです。CertStreamは、新しく生成された証明書のリアルタイムストリームを提供し、指定されたキーワードを（ほぼ）リアルタイムで検出するために使用できます。実際、phishing_catcherというプロジェクトがそれを行っています。

新しいドメイン

最後の選択肢は、いくつかのTLD（Top Level Domain）の新しく登録されたドメインのリストを収集し、これらのドメインでキーワードをチェックすることです（Whoxyがそのようなサービスを提供しています）。ただし、長いドメインは通常1つ以上のサブドメインを使用するため、キーワードはFLD内に表示されず、フィッシングサブドメインを見つけることができません。