10.8K Views
July 02, 18
スライド概要
Anti-Phishing Working Group 主催『巧妙化・国際化するオンライン詐欺やサイバー犯罪にどう対応していくのか?』, 2018/7/2, https://apwg-201807.peatix.com/
不特定多数を狙った偽サイト・フィッシング詐欺は未然に防ぐのが難しく、犯罪者にとっては期待利益が高い犯行のひとつです。こうした現状を打開しようと、個人のボランティア活動として、技能を活かし「サイバー空間の浄化活動(サイバーパトロール)」に貢献されている方が数多くいらっしゃいます。本セミナーでは、誰かのために貢献してみたいとの志をお持ちの方へ、フリーツールを使った偽サイトの探索から得られた情報の通報先についてLIVE形式でご紹介いたします。
セキュリティアナリスト @TrendMicro , 高知高専 副業先生 , Udemyベストセラー 講師 | サイバー犯罪対策、特にオンライン詐欺が専門。2002年よりこの領域で活動。マルウェア解析、インシデントハンドラー等の経験を経て現職。投稿は個人の見解であり、所属組織とは関係ありません。
すぐ貢献できる! 偽サイトの探索から 通報まで Noriaki HAYASHI Principal Security Analyst
ここに述べられている見解は執筆者 個人の責任で発表するものであり、 執筆者の所属するいかなる団体とし ての見解を示すものではありません。
アジェンダ 1. 2. 3. 4. 5. 6. 7. 犯罪抑止のための打ち手 活動における基本的心得 傾向を知る リポジトリサイト 実践 通報、目指せトップコントリビューター 更に 向こうへ!
Pro bono publico:プロボノ 職務上の専門的な 知識や経験、技能を、 社会貢献のために 無償もしくは わずかな報酬で 提供する活動 公共性 自発性 専門性
犯罪抑止のための打ち手 犯罪を抑止する方法は、 犯罪から得られる便益 を減らし、 露見した時の損失を増やすこ とである。 <省略> 抑止のためには成功確率を 下げればよい。 『刑務所の経済学』中島隆信, 2011年11月21日
活動における基本的心得 1.安全を第一に 2.インターネットの実態を知る 3.秘密の保持 4.最新情報の共有 5.関連機関・団体等との連携 6.活動記録の保存 7.実社会での活動
傾向を知る
データの収集 – Yahoo!リアルタイム検索 https://search.yahoo.co.jp/realtime
データの収集 – TweetDeck https://tweetdeck.twitter.com/
データの収集 – TweetDeck:検索オプション • 特定の単語を除外する • 言語を選択し、リツイート を含めるか指定する • LocationやTweet authors に応じたフィルタを指定す る
データの収集 – TweetDeck:巡回の勘所 • 不特定多数を狙った攻撃の早期発見を目指す • リスト機能を活用し、タイムラインをカテゴライズする – サイバーセキュリティに関するマガジン(@DarkReading, @darkwebnews) – National CERTやセキュリティベンダーなどのwebsite(@USCERT_gov, @jpcert_en, @APWG) – インフルエンサー(@briankrebs, @schneierblog) – カンファレンス(@defcon, @BlackHatEvents, @DerbyCon, @codeblue_jp) • 検索キーワードを工夫する – 特定のマルウェア、ハクティビズムキャンペーン(#opendir, #phishing, #ursnif OR #trickbot OR #emotet)
リポジトリサイト - PhishTank https://www.phishtank.com/
リポジトリサイト - OpenPhish https://www.phishtank.com/
スコープを定める
ドメイン名の探索 https://dnpedia.com/tlds/search.php
派生ドメイン名置換サービス https://dnstwister.report/
目視確認(スクリーンショットの取得) http://screenshotmachine.com/
Urlscan.io
Trend Micro Site Safety Center
評価の一括検索 - VirusTotal
リバース WHOIS
SecurityTrails – Historical Data https://securitytrails.com/
HTTPS フィッシングサイト
Qualys SSL LABS SSL Server Test
Hunting Phish Domain 1. 「dnpedia」を使い、ブランド名や特徴的な単語をクエリに検索する – apple, amazon, paypal などのブランド名。secure, login, support などの単語 2. 「dnstwister」を使い、ホモグラフィック攻撃, タイポスクワッティ ング攻撃の徴候を確認する – Olympic, Worldcupなどイベント名をクエリにしてみる 3. 「HostingDetector.com」/「DomainTools」/「DomainBigData」 を使い、WHOIS情報を深堀する 4. 「Safe Browsing API」/「VirusTotal」を使い、評判を確認する
通報
通報 – フィッシング対策協議会 [email protected]
通報
通報 – Google Safe Browsing
通報 – PhishTank
目指せ、トップコントリビューター
メタ情報を紡ぐ 構成要素の つながり / 重なり合い 注目
継続的に監視すべき対象を特定 構成要素の つながり / 重なり合い 注目
ThreatCrowd
オープンディレクトリ探索
Google Hacking Database
Phishing Kitが設置されたサイトを探す • intitle:"Index of" officee.zip • intitle:"Index of" OneDrivenew.zip • intitle:"Index of" dropbox.zip • intitle:"Index of" workhard.zip • intitle:"index of" 16Shop-Apple-V1.
Phishing Kit [DEMO] リソースファイル 処理スクリプト 盗んだ情報の保存と送信
Phishing Kit – ライフスパンの延長(検出回避) robots.txt .htaccess
WebShell – フィッシングサイトに残された痕跡
被害者を起点とした脅威の指標(IoC)
むすび 1. 現代のサイバー犯罪は経済活動が主目的 だからこそ打ち手がある 2. 犯罪の期待利益を下げる取り組み 犯罪の「コスト」を上げ「成功確率」を下げる 3. サイバー犯罪に対して一緒に戦いましょう 身の安全を確保し、まずはできることから
サイバーセキュリティ向上のための 啓発キャンペーン 85 フィッシング対策協議会 STC啓発ワーキンググループ