Cara Mudah Menghasilkan Ratusan Domain Phishing

Nama domain yang meyakinkan sangat penting untuk keberhasilan setiap serangan phishing. Dengan skrip Python tunggal Anda dapat menemukan ratusan domain phishing yang tersedia dan bahkan mengidentifikasi situs web phishing yang digunakan oleh peretas lain untuk tujuan seperti mencuri kredensial pengguna.

Dnstwist dibuat oleh @elceef adalah alat pencarian permutasi nama domain yang mendeteksi domain phising, bitquatting, typosquatting, dan situs web palsu yang berbagi nama domain mirip-cari. Dnstwist mengambil nama domain target yang diberikan dan menghasilkan daftar domain phishing yang potensial. Nama domain yang dihasilkan kemudian ditanyakan. Jika domain yang ditemukan dialihkan ke server web, Dnstwist akan mencatat alamat IP domain.

Seperti kebanyakan alat yang dirancang untuk pengujian penetrasi, Dnstwist adalah pedang bermata 2. Ini dapat digunakan oleh penyerang untuk menemukan domain kandidat ideal untuk serangan phishing di mana mereka dapat mengkloning situs web asli dan meminta pengguna memasukkan kredensial mereka ke situs web palsu atau dapat digunakan oleh profesional cybersecurity dan sysadmin untuk menemukan dan mengidentifikasi domain yang dibuat dengan cepat oleh musuh dan penyerang.

Skema Penamaan yang Didukung

Dsntwist mendukung berbagai skema dan jenis phishing domain yang digunakan untuk menghasilkan banyak pilihan domain phising yang potensial. Saya akan membahas masing-masing di bawah sebelum melompat langsung ke bagaimana caranya.

1. Tambahan

Huruf ditambahkan ke akhir nama domain yang diberikan. Di bawah ini adalah contoh Bank of America, salah satu bank terbesar di AS. Tidak seperti beberapa opsi lain di bawah ini, penambahan sederhana cukup mudah untuk dilihat oleh pengguna akhir jika ia hanya melirik URL.

2. Bitsquatting

Bitsquatting mengacu pada pendaftaran nama domain 1-bit yang berbeda dari domain yang sah. Di bawah ini adalah contoh untuk Wikipedia, situs referensi umum terbesar dan terpopuler di internet. Ini sedikit lebih rumit di mata daripada "tambahan" di atas karena banyak orang membaca kata-kata berdasarkan huruf pertama dan terakhir dan tidak melihat setiap huruf secara individual.

3. Homoglyph

Kampanye phishing menggunakan homoglyphs disebut sebagai serangan homograf, meskipun karakter alternatifnya disebut sebagai homoglyph dan bukan homograf. Jenis serangan ini masih mempengaruhi Firefox dan sebagian besar perangkat Android, dan baru-baru ini menjadi terkenal oleh Xudong Zheng yang menciptakan alamat phishing homoglyph pertama untuk apple.com. Menggunakan Facebook sebagai contoh, saya menemukan ada banyak domain phishing homoglyph yang masih tersedia.

Untuk memeriksa nama domain yang ditemukan terhadap pencatat domain, salin dan tempel domain dari terminal Dnstwist ke dalam bilah pencarian pencatat.

4. Kelalaian

Surat hanya dihapus dari nama domain. Yang mengejutkan, semua nama domain Instagram terdaftar sebagai tersedia. Meskipun seseorang mungkin akan memperhatikan jika huruf pertama atau terakhir di nama domain hilang, mereka mungkin tidak melihat 1 di tengah hilang.

5. Subdomain

Suatu periode disisipkan pada berbagai posisi dalam nama domain yang diberikan.Dengan menggunakan Gizmodo sebagai contoh, kita dapat melihat domain "odo.com" dan "zmodo.com" tersedia. Ini hanya masalah membuat subdomain yang meyakinkan untuk membuat domain phising yang efektif. Seperti "tambahan," ini mungkin lebih jelas daripada trik lainnya di sini.

6. Vokal-Swap

Vokal ditemukan di domain yang diberikan bertukar untuk vokal yang berbeda. Sepintas banyak dari domain ini kemungkinan besar akan menipu sebagian besar korban untuk mengklik tautan curang. Sekali lagi, ini berfungsi karena kebanyakan orang memindai kata menggunakan huruf pertama dan terakhir, tidak harus setiap huruf di tengah. Jika vokal yang diganti adalah huruf pertama atau terakhir, itu mungkin tidak akan berfungsi juga.

Sekarang setelah Anda mengetahui semua trik yang dapat digunakan Dnstwist untuk menemukan domain phishing yang digunakan dan tersedia, mari kita lihat cara menggunakan alat ini.

Langkah 1. Mengatur Dnstwist

Dnstwist bergantung pada beberapa dependensi Python yang dapat diinstal di Kali Linux dengan mengetikkan perintah di bawah ini ke terminal.

apt-get install python-dnspython python-geoip python-whois python-permintaan python-ssdeep python-cffi

Selanjutnya, klon repositori GitHub Dnstwist.

git clone https://github.com/elceef/dnstwist

Terakhir gunakan perintah cd untuk mengubah ke direktori "dnstwist" yang baru dibuat dan gunakan perintah di bawahnya untuk melihat opsi yang tersedia.

cd dnstwist /
./dnstwist.py --help

Langkah 2. Hasilkan Domain Phising dengan Dnstwist

Untuk mulai membuat domain phising dengan Dnstwist, gunakan perintah di bawah ini. Ada beberapa argumen yang digunakan dalam contoh perintah saya, jadi lompat ke bawah di bawah layar untuk melihat perincian cepat.

./dnstwist.py --ssdeep --json --threads 40 website.com> website.com.json

The --ssdeep argumen menginstruksikan Dnstwist untuk menganalisis HTML ditemukan pada setiap domain dan bandingkan dengan HTML yang diberikan website (real). Tingkat kesamaan akan dinyatakan sebagai persentase. Namun setiap situs web harus diperiksa secara manual terlepas dari tingkat persentase yang dikeluarkan oleh Dnstwist. Persentase ini hanya ada untuk membantu profesional keamanan dalam mengidentifikasi domain mana yang paling mungkin menjadi domain phishing. Dnstwist mendukung 2 format output yang dapat digunakan dengan aplikasi lain. The --json format output yang digunakan dalam contoh di atas saya tapi ada juga dukungan untuk output CSV yang dapat diaktifkan dengan menggunakan --cvs argumen bukan format JSON. Untuk menyimpan salah satu format ke file, pengalihan nama file dapat digunakan untuk menulis data ke nama file yang diberikan. Secara default Dnstwist hanya akan membuat 10 permintaan pada saat ketika mencacah domain phishing yang tersedia. Jumlah ini dapat ditingkatkan atau dikurangi menggunakan argumen --threads dan menentukan nilai.

Bilah kemajuan akan dicetak di bagian bawah terminal Dnstwist. Bergantung pada kecepatan jaringan dan jumlah utas, ini bisa memakan waktu beberapa menit untuk diselesaikan.

Selalu Bayar Perhatian Dekat Nama Domain

Sebagai penyerang yang bersiap untuk melakukan kampanye phising selama keterlibatan tim merah atau sysadmin bersiap untuk mempertahankan diri dari serangan tersebut, Dnstwist adalah alat fantastis yang dapat digunakan untuk menyebutkan domain yang layak yang kemungkinan akan digunakan untuk tujuan jahat. Dnstwist menawarkan beberapa keunggulan kunci dibandingkan alat serupa seperti kemampuan untuk menganalisis dan membandingkan HTML dari domain phishing yang potensial, dukungan untuk format output yang berbeda, dan berbagai macam domain phishing yang dihasilkan.

Jika Anda hanya pengguna akhir biasa yang mengunjungi situs web, berikan perhatian ekstra pada URL saat Anda tiba di sana. Meskipun homoglyph mungkin tidak dapat ditemukan, sisanya dapat dengan mudah dilihat jika Anda menghabiskan lebih banyak daripada meliriknya.

Semoga Anda menikmati artikel ini tentang membuat dan mendeteksi domain phising dengan Dnstwist.