GitHub Arsenal: Open-Source-Tools zur Bekämpfung der Cyberkriminalität
In der sich ständig weiterentwickelnden Landschaft der Cyberbedrohungen bieten Open-Source-Tools auf GitHub einen wirksamen Schutz.
Der Kampf gegen Cyberkriminalität ist eine globale Aufgabe, und die Open-Source-Community spielt dabei eine entscheidende Rolle. GitHub, die weltweit führende Plattform für Softwareentwicklung, beherbergt eine Vielzahl von Tools, die darauf ausgelegt sind, verschiedene Cyberbedrohungen – darunter auch die allgegenwärtige Gefahr des Phishing – zu erkennen, zu analysieren und zu bekämpfen.
Die Bedeutung von Open Source für die Cybersicherheit
Open-Source-Projekte bieten eine beispiellose Transparenz und ermöglichen es Sicherheitsforschern und Entwicklern weltweit, den Code zu prüfen, Schwachstellen zu identifizieren und zu Verbesserungen beizutragen. Dieses kollaborative Modell fördert schnelle Innovationen und schafft robuste, von der Community geprüfte Lösungen zum Schutz vor raffinierten Cyberangriffen.
Wichtige Ressourcen zur Bekämpfung von Phishing
Neben allgemeinen Cybersicherheits-Tools gibt es eine Reihe spezialisierter Ressourcen, die bei der direkten Bekämpfung von Phishing-Versuchen von unschätzbarem Wert sind. Diese Tools reichen von Echtzeit-Bedrohungsfeeds über URL-Analysedienste bis hin zu von der Community gepflegten Sperrlisten:
- TweetFeed.live: Bietet einen Live-Feed mit Informationen zu Cyberbedrohungen, der häufig Frühwarnungen zu Phishing-Kampagnen enthält, die in sozialen Medien geteilt werden.
- Phish.Report: Eine Plattform zur Meldung von Phishing-Seiten, die zu einer gemeinsamen Datenbank beiträgt, mit deren Hilfe bösartige URLs blockiert werden können.
- URLQuery.net: Bietet einen kostenlosen Dienst zur Analyse verdächtiger URLs an und liefert detaillierte Berichte über deren Verhalten und potenzielle Bedrohungen.
- ThreatView.io – Tweets zu experimentellen IOCs: Ein Rohdaten-Feed mit Indikatoren für Kompromittierung (IOCs), die aus Tweets extrahiert wurden und für automatisierte Systeme zur Erkennung von Bedrohungen nützlich sind.
- Polkadot-JS-Phishing-Repository: Ein GitHub-Repository, das der Verfolgung und Aufdeckung von Phishing-Versuchen gewidmet ist, die auf das Polkadot-Ökosystem abzielen.
- Öffentliche Daten von URLAbuse.com: Stellt eine öffentliche Liste gemeldeter missbräuchlicher URLs bereit, die zur Aktualisierung von Sperrlisten verwendet werden kann.
- MetaMask/eth-phishing-detect: Ein Open-Source-Projekt von MetaMask zur Erkennung und Abwehr von Phishing-Versuchen im Zusammenhang mit Ethereum.
- Phishing.Army-Sperrliste: Eine regelmäßig aktualisierte Sperrliste bekannter Phishing-URLs, die von der Phishing.Army-Community gepflegt wird.
- URL-Analyse mit VirusTotal: Ein weit verbreiteter Dienst, der verdächtige Dateien und URLs analysiert und dabei Erkenntnisse aus verschiedenen Antiviren-Engines und Blacklist-Diensten liefert.
- Phish Guard Blau: Eine Webanwendung, die Nutzern dabei helfen soll, Phishing-Links zu erkennen und zu vermeiden.
- Netcraft-Phishing-Bericht: Die Plattform von Netcraft zur Meldung von Phishing-Seiten, die zu den umfassenden Maßnahmen des Unternehmens im Kampf gegen Phishing beiträgt.
- Seal Phishing Bot (Telegram): Ein Telegram-Bot, der Nutzern dabei hilft, Links auf Phishing zu überprüfen und verdächtige Aktivitäten zu melden.
- URLScan.io: Ein kostenloser Dienst, der Websites scannt und analysiert und detaillierte Berichte zu deren Inhalten, Technologien und potenziellen böswilligen Aktivitäten liefert.
„Wir bei PhishDestroy sind fest davon überzeugt, dass Zusammenarbeit und Transparenz im Bereich der Cybersicherheit von entscheidender Bedeutung sind. Unsere eigene Arbeit basiert auf Grundsätzen, die mit dem Open-Source-Ethos im Einklang stehen.“
Werkzeugkasten für OSINT-Ermittler
Über Blocklisten hinaus erfordert eine echte Untersuchung eine umfassendere Überwachung. Die folgenden Open-Source-Tools bilden das Rückgrat jedes Workflows zur Bekämpfung von Phishing – jedes davon ist kostenlos, skriptfähig und hat sich in der Praxis bewährt:
- urlscan.io — URL-Analyse in einer Sandbox: vollständiger DOM-Snapshot, Screenshots, Netzwerkaufrufe, Zertifikatsdetails. Unverzichtbar für die Sicherung von Beweismaterial vor der Entfernung der Seite.
- VirusTotal — Multi-Engine-Reputationsabfrage für URLs, Dateien, IP-Adressen und Hashes. Wenn Sie hier eine Phishing-URL einreichen, wird die Erkennung an Dutzende von Antiviren- und EDR-Anbietern weitergeleitet.
- Shodan — Suchmaschine für das Internet der Dinge und öffentlich zugängliche Dienste. Dient dazu, die Infrastruktur von Betrügern zu kartieren, Hosting-Cluster zu identifizieren und Control-Panels aufzuspüren.
- Censys — Zertifikatstransparenz und Bannersuche; der Wechsel von einem TLS-Zertifikat zu hundert damit verbundenen Domains ist hier an der Tagesordnung.
- crt.sh — Kostenlose Suche im Certificate Transparency-Protokoll – ideal, um neu ausgestellte Zertifikate zu erkennen, die geschützte Marken imitieren.
- Wayback Machine — speichert Momentaufnahmen, die auch dann noch erhalten bleiben, wenn die ursprüngliche Website nicht mehr existiert.
- WHOIS & ViewDNS.info — Abfragen von Registranten, Reverse-IP und DNS-Pivoting.
- Maltego CE — graphbasierte Verknüpfungsanalyse; ideal zur Visualisierung von Betrüger-Netzwerken über E-Mail-, Domain-, IP- und Social-Media-Knoten hinweg.
- theHarvester — sammelt E-Mail-Adressen, Subdomains, Hosts und Namen von Mitarbeitern aus öffentlich zugänglichen Quellen.
- Kali Linux — eine vorinstallierte Distribution mit Hunderten von OSINT- und Sicherheitstools.
Browser-seitige Schutzmaßnahmen
Die meisten Phishing-Opfer werden schon beim Klicken erwischt. Schutzmaßnahmen auf Browserebene stoppen den Angriff, bevor er überhaupt das Portemonnaie erreicht:
- MetaMask eth-phishing-detect — Eine Domain-Blockliste, die in MetaMask und vielen anderen Web3-Wallets enthalten ist und bekannte Phishing-Seiten blockiert, bevor sie geladen werden.
- PhishDestroy-Löschliste — Über 130.000 kuratierte aktive Betrugs- und Phishing-Domains in verschiedenen Formaten (DNS, Hosts, JSON, CSV), bereit zur Integration in Pi-hole, AdGuard, Browser-Erweiterungen oder Unternehmensfirewalls.
- PhishFort-Listen — von der Community gepflegte Blocklisten für Krypto-Phishing.
- uBlock Origin + Privacy Badger — Anzeigen und Tracker herausfiltern und so die Gefährdung durch Malvertising-Verbreitungskanäle drastisch reduzieren.
- ScamSniffer — Web3-Erweiterung mit einer Betrugsdatenbank, die Risiken durch „Drainer“-Verträge direkt auf der Seite anzeigt.
Feeds mit Bedrohungsinformationen
Wenn Sie ein SOC, ein CERT oder eine Sicherheitsinfrastruktur betreiben, sollten Sie diese öffentlichen Feeds zu aktiven Phishing-Infrastrukturen einbinden:
- Liste löschen — Automatische Aktualisierung, über 130.000 Bedrohungen, kostenlose API, verschiedene Formate.
- OpenPhish — Community-Phishing-Feed im Plain-Text-Format.
- PhishTank — bestätigte Phishing-URLs (Cisco/OpenDNS).
- URLhaus (abuse.ch) — URLs, über die Malware verbreitet wird.
- TweetFeed — IOCs, die aus Social-Media-Kanälen zum Thema Informationssicherheit zusammengetragen wurden.
- ScamSniffer-Betrugsdatenbank — Web3-Sperrlisten.
YARA, Honeypots und aktive Abwehr
- PhishingKit-Yara-Regeln — Erkennung bekannter Fingerabdrücke von Phishing-Kits in HTML/JS.
- Yara-Regeln — Von der Community gepflegte Regelbibliothek.
- Honeypots & Canary-Token — canarytokens.org, MazeRunner CE.
- Operation „Takedown“ — unsere eigene Sammlung von Skripten zur Unterbindung aktiver Phishing-Kampagnen.
Ablauf – Vom Hinweis bis zur Abschaltung
Bei einer typischen Untersuchung werden diese Werkzeuge miteinander verknüpft:
- Eine Anfrage erhalten — ein Bericht aus der Gemeinde (Telegram-Bot), ein Treffer des Parsers für bezahlte Anzeigen oder eine CT-Log-Warnmeldung.
- Phishing bestätigen — Sandbox über urlscan.io; Gegenprüfung mit VirusTotal, OpenPhish, PhishTank.
- Karteninfrastruktur — Über Censys/Shodan nach verwandten Domains, IP-Adressen und Zertifikaten suchen.
- Beweismittel sichern — Wayback-Snapshot, URL-Scan-Archiv, vollständige HTML/JS-Erfassung, Screenshots.
- Partner benachrichtigen — an über 50 AV-Anbieter übermitteln, Missbrauch beim Registrar/Host melden, an die Feeds von MetaMask und ScamSniffer weiterleiten.
- Monitor — Die Sperrung bestätigen; darauf achten, ob die Seite auf benachbarten IP-Adressen oder über neu registrierte, ähnlich klingende Domains wieder auftaucht.
Weiterlesen:Anatomie eines Takedowns · Registrare, die Betrugsfälle ermöglichen · Leitfaden zur Kryptosicherheit
Durch den Einsatz dieser Open-Source-Tools können Privatpersonen, kleine Unternehmen und große Konzerne ihre Cybersicherheit erheblich verbessern. Die kollektive Intelligenz und die kontinuierliche Weiterentwicklung innerhalb der Open-Source-Community sind von unschätzbarem Wert im andauernden Kampf gegen Cyberkriminalität. Bleiben Sie wachsam, bleiben Sie auf dem Laufenden und nutzen Sie die Möglichkeiten von Open Source, um sich selbst und Ihre Gemeinschaft zu schützen.
