TD Bank'ı hedefleyen bir kimlik avı kitini incelerken, kaynak HTML'de garip bir karışık JavaScript parçası fark ettim:
Gizlemeyi kaldırdıktan sonra geriye düz metin JavaScript kalıyor:
JavaScript , işlevi kullanarak tarayıcının URL'sini normal bir ifadeylewindow.location.host.match
karşılaştırır .
Tarayıcıdaki URL etki alanını kullanmıyorsa, JavaScripttdbank.com
etki alanına bir istek göndererek "izleme pikselini" yükler images-cdn.info
:
HTTP isteği gönderildiğinde, isteğin gönderildiği alan adını ortaya çıkaran alana yönlendiren URL'yiimages-cdn.info
içerir .Referer:
GET /590/image.gif HTTP/1.1
Host: images-cdn.info
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36
Accept: image/webp,*/*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
Referer: http://localhost/
Pragma: no-cache
Cache-Control: no-cache
Bu nedenle, etki alanını işleten güvenlik şirketi için, yalnızca erişim günlüklerindeki alanı images-cdn.info
izleyerek kimlik avı içeriği içermesi muhtemel yeni etki alanları bulabilirler .Referer:
images-cdn.info
Tek gereken, bir kişinin kimlik avı sayfasını yüklemesidir (örneğin, kimlik avcıları çoğu zaman kimlik avı sayfasını test eder) ve sayfanın kaldırılması için yeterli olacaktır.
Kimlik avcıları , kimlik avı hedeflerinin giriş sayfası kaynaklarını hızlı bir şekilde indirmek için genellikle HTTrack gibi kazıma araçlarını kullanır .
Oradan, indirilen kaynakları kimlik avı sayfalarını yapmak için değiştirebilirler, ancak kazınmış kaynaklardan yüklenen mevcut kaynakları her zaman kontrol etmezler.
Temel olarak çalınan eşyaları gerçek zamanlı olarak izlemek için GPS kullanmaya eşdeğerdir.
images-cdn.info
yaparsanız, bunun arkasında kimin olduğuna dair pek bir şey bulamazsınız. Sahip hakkında daha fazla bilgi edinmek için alan adında bir whois çalıştırmanız yeterlidir:Whois Sahibini Açıkladı Domain Name: images-cdn.info
Registry Domain ID: 34ec494f76d642c095c3982de2fe96af-DONUTS
Registrar WHOIS Server: whois.godaddy.com/
Registrar URL: http://www.godaddy.com/domains/search.aspx?ci=8990
Updated Date: 2021-11-21T13:16:43Z
Creation Date: 2018-02-25T19:41:45Z
Registry Expiry Date: 2022-02-25T19:41:45Z
Registrar: GoDaddy.com, LLC
Registrar IANA ID: 146
Registrar Abuse Contact Email: [email protected]
Registrar Abuse Contact Phone: +1.4806242505
Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
Domain Status: clientRenewProhibited https://icann.org/epp#clientRenewProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Registry Registrant ID: REDACTED FOR PRIVACY
Registrant Name: REDACTED FOR PRIVACY
Registrant Organization: Ecrime Management Strategies Inc.
Registrant Street: REDACTED FOR PRIVACY
Registrant City: REDACTED FOR PRIVACY
Registrant State/Province: South Carolina
Registrant Postal Code: REDACTED FOR PRIVACY
Registrant Country: US
Gördüğünüz gibi, tescil ettiren kuruluştur Ecrime Management Strategies Inc.
ve bu kuruluşun Google'da aranması onu şirkete bağlar PhishLabs
.
Böyle bir şirketin, müşterilerini hedefleyen çevrimiçi kimlik avı sayfalarını tespit etmek için bu tür bir alan adını kullanması mantıklıdır.