«Арсенал GitHub»: инструменты с открытым исходным кодом для борьбы с киберпреступностью
В постоянно меняющейся обстановке киберугроз инструменты с открытым исходным кодом на GitHub обеспечивают надежную защиту.
Борьба с киберпреступностью — это глобальная задача, и сообщество разработчиков открытого программного обеспечения играет в ней ключевую роль. GitHub, являясь ведущей мировой платформой для разработки программного обеспечения, предоставляет доступ к огромному количеству инструментов, предназначенных для выявления, анализа и противодействия различным киберугрозам, в том числе широко распространенной угрозе фишинга.
Сила открытого исходного кода в сфере кибербезопасности
Проекты с открытым исходным кодом обеспечивают беспрецедентную прозрачность, позволяя исследователям в области безопасности и разработчикам по всему миру тщательно анализировать код, выявлять уязвимости и вносить свой вклад в его совершенствование. Такая модель сотрудничества способствует быстрым инновациям и созданию надежных, проверенных сообществом решений для защиты от сложных кибератак.
Основные ресурсы по борьбе с фишингом
Помимо общих инструментов кибербезопасности, для непосредственной борьбы с фишинговыми попытками неоценимую роль играют несколько специализированных ресурсов. К этим инструментам относятся как каналы информации об угрозах в режиме реального времени, так и сервисы анализа URL-адресов, а также списки блокировки, формируемые сообществом:
- TweetFeed.live: Обеспечивает оперативный поток аналитических данных о киберугрозах, который зачастую включает ранние предупреждения о фишинговых кампаниях, о которых сообщают в социальных сетях.
- Phish.Report: Платформа для сообщения о фишинговых сайтах, которая пополняет общую базу данных, помогающую блокировать вредоносные URL-адреса.
- URLQuery.net: Предлагает бесплатный сервис для анализа подозрительных URL-адресов, предоставляя подробные отчеты об их поведении и потенциальных угрозах.
- Экспериментальные твиты с индикаторами угроз (IOC) на ThreatView.io: Поток необработанных данных о признаках взлома (IOC), извлеченных из твитов, который может быть полезен для систем автоматического обнаружения угроз.
- Репозиторий фишинговых атак Polkadot-JS: Репозиторий на GitHub, предназначенный для отслеживания и выявления фишинговых атак, направленных против экосистемы Polkadot.
- Открытые данные сайта URLAbuse.com: Содержит общедоступный список URL-адресов, в отношении которых поступили сообщения о злоупотреблениях, который можно использовать для обновления списков заблокированных адресов.
- MetaMask/eth-phishing-detect: Проект с открытым исходным кодом от MetaMask, предназначенный для выявления и предотвращения фишинговых атак, связанных с Ethereum.
- Список заблокированных доменов Phishing.Army: Регулярно обновляемый список заблокированных адресов, содержащий известные фишинговые URL-адреса, который ведёт сообщество Phishing.Army.
- Анализ URL-адреса с помощью VirusTotal: Широко используемый сервис, который анализирует подозрительные файлы и URL-адреса, предоставляя информацию, полученную от нескольких антивирусных движков и сервисов черных списков.
- Phish Guard, синий: Веб-приложение, предназначенное для того, чтобы помочь пользователям выявлять фишинговые ссылки и избегать их.
- Отчет Netcraft о фишинге: Платформа Netcraft для сообщения о фишинговых сайтах, способствующая реализации их комплексных мер по борьбе с фишингом.
- Фишинговый бот «Seal» (Telegram): Бот в Telegram, который помогает пользователям проверять ссылки на наличие фишинга и сообщать о подозрительной активности.
- URLScan.io: Бесплатный сервис, который сканирует и анализирует веб-сайты, предоставляя подробные отчеты об их контенте, используемых технологиях и потенциальной вредоносной деятельности.
«В PhishDestroy мы твердо верим в силу сотрудничества и прозрачности в сфере кибербезопасности. Наша деятельность основана на принципах, которые соответствуют духу открытого исходного кода».
Набор инструментов для исследователей OSINT
Помимо списков заблокированных адресов, для проведения полноценного расследования требуются более глубокие средства мониторинга. Приведенные ниже инструменты с открытым исходным кодом составляют основу любого рабочего процесса по пресечению фишинговых атак — каждый из них бесплатен, поддерживает создание скриптов и проверен сообществом в реальных условиях:
- urlscan.io — Анализ URL-адресов в изолированной среде: полный снимок DOM, скриншоты, сетевые запросы, сведения о сертификатах. Незаменимый инструмент для сохранения доказательств перед удалением сайта.
- VirusTotal — многоканальный поиск информации о репутации URL-адресов, файлов, IP-адресов и хешей. Отправка фишингового URL-адреса через этот сервис позволяет передать информацию о его обнаружении десяткам поставщиков антивирусных решений и систем EDR.
- Шодэн — поисковая система для Интернета вещей и открытых сервисов. Используется для визуализации инфраструктуры мошенников, выявления хостинг-кластеров и обнаружения панелей управления.
- Censys — прозрачность сертификатов и поиск по баннерам; переход от одного сертификата TLS к сотне связанных доменов здесь — обычное дело.
- crt.sh — бесплатный поиск в журнале Certificate Transparency, идеально подходящий для выявления недавно выданных сертификатов, имитирующих защищенные бренды.
- Wayback Machine — сохраняет моментальные снимки, которые остаются доступными даже после исчезновения исходного сайта.
- WHOIS & ViewDNS.info — поиск владельцев доменов, обратный поиск по IP-адресу и переход по DNS.
- Maltego CE — анализ связей на основе графов; идеально подходит для визуализации сетей мошенников с использованием узлов электронной почты, доменов, IP-адресов и социальных сетей.
- theHarvester — собирает адреса электронной почты, субдомены, хосты и имена сотрудников из открытых источников.
- Kali Linux — готовый дистрибутив с сотнями инструментов для сбора открытых данных (OSINT) и обеспечения безопасности.
Средства защиты на стороне браузера
Большинство жертв фишинга попадаются на клик. Средства защиты на уровне браузера блокируют атаку ещё до того, как она достигнет кошелька:
- MetaMask: обнаружение фишинга в сети Ethereum — список заблокированных доменов, входящий в состав MetaMask и многих кошельков Web3, который блокирует известные фишинговые страницы ещё до их загрузки.
- PhishDestroy — список уничтожения — Более 130 тысяч отобранных активных мошеннических и фишинговых доменов в различных форматах (DNS, hosts, JSON, CSV), готовых к интеграции с Pi-hole, AdGuard, расширениями для браузеров или корпоративными брандмауэрами.
- Списки PhishFort — списки блокировки криптофишинговых сайтов, поддерживаемые сообществом.
- uBlock Origin + Privacy Badger — фильтрует рекламные объявления и трекеры, что позволяет значительно снизить риск подверженности каналам распространения вредоносной рекламы.
- ScamSniffer — Расширение для браузера с базой данных мошеннических проектов Web3, которое выявляет риски, связанные с контрактами-драйнерами, прямо на странице.
Каналы аналитики угроз
Если вы управляете SOC, CERT или комплексом систем безопасности, подключите следующие открытые каналы данных, содержащие информацию об активной фишинговой инфраструктуре:
- список уничтожения — автоматическое обновление, более 130 тыс. угроз, бесплатный API, поддержка нескольких форматов.
- OpenPhish — лента сообщений о фишинговых атаках в сообществе в формате «чистого текста».
- PhishTank — URL-адреса, подтвержденные как фишинговые (Cisco/OpenDNS).
- URLhaus (abuse.ch) — URL-адреса, используемые для распространения вредоносного ПО.
- TweetFeed — Информация о международных олимпийских комитетах, собранная из социальных сетей, посвящённых информационной безопасности.
- База данных мошеннических схем ScamSniffer — Черные списки Web3.
YARA, «медовые ловушки» и активная защита
- PhishingKit — правила Yara — обнаруживать известные сигнатуры фишинговых наборов в HTML/JS.
- Правила Yara — библиотека правил, поддерживаемая сообществом.
- «Медовые ловушки» & токены «канарейки» — canarytokens.org, MazeRunner CE.
- Операция «Такедаун» — наш собственный набор скриптов для пресечения активных фишинговых кампаний.
Рабочий процесс — от получения информации до задержания
В ходе типичного расследования эти инструменты используются последовательно:
- Получить запрос — отчет сообщества (Бот в Telegram), обнаружение синтаксического анализатора платной рекламы или оповещение из журнала CT.
- Подтвердить фишинг — тестирование в песочнице через urlscan.io; перепроверка с помощью VirusTotal, OpenPhish, PhishTank.
- Карта инфраструктуры — воспользоваться сервисами Censys/Shodan для поиска связанных доменов, IP-адресов и сертификатов.
- Сохранить доказательства — Снимок из Wayback Machine, архив urlscan, полная запись HTML/JS, скриншоты.
- Уведомить партнеров — отправить запрос более чем 50 поставщикам антивирусных решений, подать жалобу о злоупотреблении в регистратуру/хостинг-провайдеру, распространить информацию в каналах MetaMask и ScamSniffer.
- Монитор — подтвердить удаление; следить за появлением сайта на соседних IP-адресах или на недавно зарегистрированных сайтах с похожими названиями.
Подробнее:Анатомия сбивания с ног · Регистраторы, способствующие мошенничеству · Руководство по безопасности криптовалют
Используя эти инструменты с открытым исходным кодом, частные лица, малые и крупные предприятия могут значительно укрепить свою кибербезопасность. Коллективный интеллект и постоянное развитие сообщества разработчиков открытого исходного кода являются бесценным активом в непрекращающейся борьбе с киберпреступностью. Будьте бдительны, оставайтесь в курсе событий и используйте возможности открытого исходного кода, чтобы защитить себя и свое сообщество.
