Бывает, в компанию или службу банка, занимающуюся интернет‑безопасностью, поступает жалоба на тот или иной сайт, что и становится поводом к расследованию. Этот случай мы рассматривать не будем, а допустим, что ИБ‑шник захотел получить премию сам решил найти вредоносные сайты.
Самый простой способ включает следующие нехитрые действия:
- скачиваем список зарегистрированных за последние несколько месяцев доменов в зоне .ru c сайта Domains.ihead.ru (в списке перечислены домены, зарегистрированные за последние три месяца);
- ищем домены, похожие на официальные домены крупных компаний и банков;
- заходим на сайт и смотрим, что же там находится;
- если обнаружен мошеннический ресурс, подаем заявку на блокировку домена регистратору, жалуемся хостеру или настраиваем межсетевой экран для блокировки подобных ресурсов в собственном периметре.
Более продвинутый вариант — использовать самодельные или покупные сканеры, которые будут бороздить просторы интернета в автоматическом режиме. Вроде все просто, однако описанный метод срабатывает далеко не всегда. Почему же найти мошеннический сайт порой бывает нелегко? Причин обычно несколько.
Похожее написание
Если, например, из списка всех доменов отобрать домены со словом gaz, то домен gaazprom.ru ты уже не обнаружишь, а вот утилита Dnstwist из Kali поможет его найти. Еще можно использовать онлайн‑сервисы Dnstwist или Dnstwister.report.
Dnstwist генерирует шесть разных типов написания основного домена и проверяет, какие из них зарегистрированы. Например, для официального gazprom.ru было сгенерировано и проверено 2270 вариантов. 38 доменов оказались зарегистрированы.
Теперь давай‑ка проверим, что же все‑таки находится на этом самом gaazprom.ru.
Поддомен
Тут все просто. Если сканировать сайт openstockinvest.cyou, то мы ничего не увидим. А если зайти на поддомен hххp://bussiness.openstockinvest.cyou, то внезапно обнаружим мошеннический лендинг.
Зона комфорта
Часто поиск мошеннических сайтов ограничивается лишь проверкой доменов в зоне ru. Если так делать, то ты упустишь сайты, зарегистрированные еще в 1555 доменных зонах. Тот же Dnstwist генерирует домены не во всех возможных зонах, что уводит из нашего поля зрения потенциальный улов.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»