注意:乐动体育 体育培训认证 已经取代了PhishEye,其能力得到了极大的扩展。请探索Detect为您的品牌保护、反欺诈和欺骗基础设施分析需求乐动篮球视频。
15天前,我们的网络钓鱼检测解决方案PhishEye发现了多个假冒“沃尔玛”的域名。引起我注意的是walmartcareers[.]us。当我决定将2019年7月25日的PhishEye报告的结果导出到Iris (我们的旗舰调查工具-坦白说,这是非常棒的)调查失败了。所以,在这篇博文中,我想分享一下调查的现状,以及我的研究方法的下一步。我的意图是把这篇博客作为一个一站式商店(可以说),以便在未来几个月里获得任何进展或更新。此外,为了透明起见,我想指出,这可能会导致一场开创性的运动,也可能不会。此外,像大多数做研究的人一样,我经常发现在整个调查过程中保持客观是一件很有挑战性的事情,当我们觉得我们找到了一些很酷的东西时,这可能会很困难。
所以,这是我目前为止发现的,从监视的PhishEye术语“沃尔玛”开始。7月25日,沃尔玛的职业生涯。在我的电子邮件中发现了这个问题。这让我可以查看我当天监控的所有术语,并评估哪些领域可能是最有成效的研究,这是任何一天的理想开始。
当我查看walmartcareers领域时。,以下是我从虹膜这个简单的话题中注意到的一些事情:
- 领域风险评分为96,高于最初的63。作为背景,得分为100分的域名在行业黑名单上,而我们的蜘蛛感官在70分以上开始刺痛感
- 4导向枢轴,表示域之间的紧密联系
- 电子邮件地址
- 的名字
- 电话号码
- 注册人的细节
- 创建7月22日的日期
- 过期日期没有什么奇怪的,我通常把它看作是一个快速的指示,如果域需要更多的挖掘
- 登记信息显示地址在巴基斯坦
- IP国家代码是美国
从电子邮件地址的引导枢轴来看,(电子邮件保护)(。有184个域共享该值,平均域风险评分为97,平均年龄为190天。当解密这些额外的域名时,它似乎导致了一个更大的活动,不仅欺骗职业网站,更严重的是欺骗约会和电影/电视网站。
在此次活动中识别的540多个域名中,只有181个出现在行业黑名单上。其他人的平均风险得分为93,这表明在这个时间点上,他们似乎在做一些非常可疑的事情。
大多数知识产权国家代码都在美国,尽管注册人的详细信息显示地址在巴基斯坦:
活动中的其他恶搞网站的例子
cashgiftcards(。)
仍然活跃-不在行业黑名单上(161天前)
captainmarvelmovie(。)
在行业黑名单上(209天前)
mcdonaldcareer(。)
在行业黑名单上(17天前)
DomainTools虹膜可视化在线约会网站的活动
当我们继续挖掘这个活动的意图和背后的潜在演员/团体时,我们也想花点时间提出一些建议。
的组织
- 采取措施找出那些试图欺骗你的品牌的域名。绝大多数与此活动相关的域名还没有出现在行业黑名单上,因此在恶意活动影响到你的客户群之前采取先发制人的策略是至关重要的。
- 检查你当前的下架过程,看看是否有方法可以将它加快几分钟/几天/几小时。
- 此外,如果这种类型的活动成功地损害了你的声誉或影响了你的客户基础,那么评估可能造成的品牌损害的成本。
对于消费者来说
- 一个好的经验法则是,在提交凭证(用户名/密码)、信用卡信息、PII(个人身份信息,如名、姓、地址和社会安全号码)等之前,总是通过检查URL来验证站点的合法性,以确保没有任何可疑之处。
- 记住,如果一笔交易看起来好得令人难以置信,那么它很可能就是不真实的。
- 不要害怕通过四处询问、查找当地资源或在InfoSec中寻找可以为您做一些挖掘的朋友来进行验证。
免责声明
我们还在研究这个活动的过程中。如需继续更新,请继续访问这篇博客文章,我们将在发现或不发现更多时更新它。
另外,如果你参加了美国黑帽公司本周,请到DomainTools展位(#1404),我将于8月8日(太平洋时间)周四下午4:30浏览调查。
