【LIVE】 すぐ貢献できる!偽サイトの探索から通報まで
10.6K Views
July 02, 18
スライド概要
Anti-Phishing Working Group 主催『巧妙化・国際化するオンライン詐欺やサイバー犯罪にどう対応していくのか?』, 2018/7/2, https://apwg-201807.peatix.com/
不特定多数を狙った偽サイト・フィッシング詐欺は未然に防ぐのが難しく、犯罪者にとっては期待利益が高い犯行のひとつです。こうした現状を打開しようと、個人のボランティア活動として、技能を活かし「サイバー空間の浄化活動(サイバーパトロール)」に貢献されている方が数多くいらっしゃいます。本セミナーでは、誰かのために貢献してみたいとの志をお持ちの方へ、フリーツールを使った偽サイトの探索から得られた情報の通報先についてLIVE形式でご紹介いたします。
セキュリティアナリスト @TrendMicro , 高知高専 副業先生 , Udemyベストセラー 講師 | サイバー犯罪対策、特にオンライン詐欺が専門。2002年よりこの領域で活動。マルウェア解析、インシデントハンドラー等の経験を経て現職。投稿は個人の見解であり、所属組織とは関係ありません。
関連スライド
各ページのテキスト
すぐ貢献できる! 偽サイトの探索から 通報まで Noriaki HAYASHI Principal Security Analyst
ここに述べられている見解は執筆者 個人の責任で発表するものであり、 執筆者の所属するいかなる団体とし ての見解を示すものではありません。
アジェンダ 1. 2. 3. 4. 5. 6. 7. 犯罪抑止のための打ち手 活動における基本的心得 傾向を知る リポジトリサイト 実践 通報、目指せトップコントリビューター 更に 向こうへ!
Pro bono publico:プロボノ 職務上の専門的な 知識や経験、技能を、 社会貢献のために 無償もしくは わずかな報酬で 提供する活動 公共性 自発性 専門性
犯罪抑止のための打ち手 犯罪を抑止する方法は、 犯罪から得られる便益 を減らし、 露見した時の損失を増やすこ とである。 <省略> 抑止のためには成功確率を 下げればよい。 『刑務所の経済学』中島隆信, 2011年11月21日
活動における基本的心得 1.安全を第一に 2.インターネットの実態を知る 3.秘密の保持 4.最新情報の共有 5.関連機関・団体等との連携 6.活動記録の保存 7.実社会での活動
傾向を知る
データの収集 – Yahoo!リアルタイム検索 https://search.yahoo.co.jp/realtime
データの収集 – TweetDeck https://tweetdeck.twitter.com/
データの収集 – TweetDeck:検索オプション • 特定の単語を除外する • 言語を選択し、リツイート を含めるか指定する • LocationやTweet authors に応じたフィルタを指定す る
データの収集 – TweetDeck:巡回の勘所 • 不特定多数を狙った攻撃の早期発見を目指す • リスト機能を活用し、タイムラインをカテゴライズする – サイバーセキュリティに関するマガジン(@DarkReading, @darkwebnews) – National CERTやセキュリティベンダーなどのwebsite(@USCERT_gov, @jpcert_en, @APWG) – インフルエンサー(@briankrebs, @schneierblog) – カンファレンス(@defcon, @BlackHatEvents, @DerbyCon, @codeblue_jp) • 検索キーワードを工夫する – 特定のマルウェア、ハクティビズムキャンペーン(#opendir, #phishing, #ursnif OR #trickbot OR #emotet)
リポジトリサイト - PhishTank https://www.phishtank.com/
リポジトリサイト - OpenPhish https://www.phishtank.com/
スコープを定める
ドメイン名の探索 https://dnpedia.com/tlds/search.php
派生ドメイン名置換サービス https://dnstwister.report/
目視確認(スクリーンショットの取得) http://screenshotmachine.com/
Urlscan.io
Trend Micro Site Safety Center
評価の一括検索 - VirusTotal
リバース WHOIS
SecurityTrails – Historical Data https://securitytrails.com/
HTTPS フィッシングサイト
Qualys SSL LABS SSL Server Test
Hunting Phish Domain 1. 「dnpedia」を使い、ブランド名や特徴的な単語をクエリに検索する – apple, amazon, paypal などのブランド名。secure, login, support などの単語 2. 「dnstwister」を使い、ホモグラフィック攻撃, タイポスクワッティ ング攻撃の徴候を確認する – Olympic, Worldcupなどイベント名をクエリにしてみる 3. 「HostingDetector.com」/「DomainTools」/「DomainBigData」 を使い、WHOIS情報を深堀する 4. 「Safe Browsing API」/「VirusTotal」を使い、評判を確認する
通報
通報 – フィッシング対策協議会 [email protected]
通報
通報 – Google Safe Browsing
通報 – PhishTank
目指せ、トップコントリビューター
メタ情報を紡ぐ 構成要素の つながり / 重なり合い 注目
継続的に監視すべき対象を特定 構成要素の つながり / 重なり合い 注目
ThreatCrowd
オープンディレクトリ探索
Google Hacking Database
Phishing Kitが設置されたサイトを探す • intitle:"Index of" officee.zip • intitle:"Index of" OneDrivenew.zip • intitle:"Index of" dropbox.zip • intitle:"Index of" workhard.zip • intitle:"index of" 16Shop-Apple-V1.
Phishing Kit [DEMO] リソースファイル 処理スクリプト 盗んだ情報の保存と送信
Phishing Kit – ライフスパンの延長(検出回避) robots.txt .htaccess
WebShell – フィッシングサイトに残された痕跡
被害者を起点とした脅威の指標(IoC)
むすび 1. 現代のサイバー犯罪は経済活動が主目的 だからこそ打ち手がある 2. 犯罪の期待利益を下げる取り組み 犯罪の「コスト」を上げ「成功確率」を下げる 3. サイバー犯罪に対して一緒に戦いましょう 身の安全を確保し、まずはできることから
サイバーセキュリティ向上のための 啓発キャンペーン 85 フィッシング対策協議会 STC啓発ワーキンググループ