【피싱 사이트 탐색 Tips】 비슷한 구조의 웹 사이트를 찾는다

개요



피싱 사이트의 탐색 기법의 하나로서, 한 공통항을 단서에 감는 식으로 찾는 기법이 있습니다.
구체적으로
  • IP 주소 ⇒ 한 피싱 사이트와 동일한 IP 주소에 연결되는 다른 피싱 사이트를 찾습니다
  • 도메인 문자열 (기업 및 서비스 이름 등) ⇒ 한 ​​피싱 사이트와 유사한 도메인 이름을 가진 다른 피싱 사이트를 찾습니다

  • etc...

    이번은 비망으로서 「웹 사이트의 구조」를 단서로 탐색하는 수단을 기술합니다.

    이 수단을 사용하는 이유



    다른 단서에 의한 탐색 수단과 조합하는 것으로, 유사한 구조의 피싱 사이트에 대한 탐색 효율 향상을 기대할 수 있습니다.
  • 알 수없는 IP 주소와 연결되는 피싱 사이트를 찾을 수 있습니다.
  • 랜덤 캐릭터 라인이나, 기업명·서비스명과 무관한 캐릭터 라인의 도메인에 의한 피싱 사이트를 발견할 수 있다.

  • ※도메인명을 기업명·서비스명과 무관한 문자열로 하는(기업명·서비스명을 서브 도메인 등에 넣는) 것으로, 도메인 검색에 의한 탐색을 회피하고 있는 피싱 사이트도 많다.

    효과의 근거



    많은 피싱 사이트에서 볼 수 있는 다음과 같은 경향을 이용합니다.
  • 피싱 사이트는 그 목적을 달성하기 위해 시각적으로 정규 사이트와 유사해야 한다.
  • 많은 피싱 사이트는 0 기반이 아닌 도구로 제작되었습니다.

  • ⇒ 결과적으로 동일한 기업(서비스)을 모방한 피싱 사이트라면 구조는 유사한 경향이 있다.

    결론



    urlscan.io의 similar 기능을 사용합니다.
    피싱 사이트뿐만 아니라 다른 인프라에있는 유사한 구조를 가진 웹 사이트를 나열하는 기능입니다.
    ※시험적인 기능과의 기재 있음.

    조작방법



    ※업무로 이용할 때는 조직의 정책에 따라 주세요.

    1. 대상으로 하는 기업·서비스의 피싱 사이트를 1개 픽업한다. (새로운 것이 낫다)


    2. 해당 피싱 사이트의 URL을 urlscan.io로 스캔합니다.


    3. 스캔 결과 화면에서 "similar"를 클릭합니다.


    4. 결과(상세한 내용은 후술)가 표시된다.


    similar 기능 결과 정보


  • domain: 동일 도메인의 유사한 웹 사이트
  • ASN but different domain: 동일한 ASN에 있는 다른 도메인의 유사한 웹 사이트
  • IP but different domain : 동일한 IP 주소를 연결하는 다른 도메인의 유사한 웹 사이트
  • submitted URL : 동일한 URL이 목적지 인 유사 웹 사이트

  • 주의사항 및 면책


  • 이 문서에서 다룬 기능은 urlscan.io의 사양 변경으로 인해 사용할 수 없게 될 수 있습니다.
  • urlscan.io 는 public 모드의 스캔 이력이 공개되므로, 기본적으로 private 모드로의 스캔을 추천합니다.
  • 기미정보를 포함한 URL, 비공개 컨텐츠의 URL은 스캔 및 공개에 대해 충분한 리스크 평가를 실시해, 취급에 주의해 주세요.
  • 본 방법에 의해 독자 여러분이 기대하는 효과를 얻을 수 있다는 보증은 하지 않습니다. 또한 urlscan.io를 사용한 결과에 대한 책임은 없습니다.
  • 좋은 웹페이지 즐겨찾기