«Арсенал GitHub»: інструменти з відкритим кодом для боротьби з кіберзлочинністю
У постійно мінливому світі кіберзагроз інструменти з відкритим кодом на GitHub забезпечують надійний захист.
Боротьба з кіберзлочинністю є глобальним завданням, і спільнота розробників програмного забезпечення з відкритим кодом відіграє в ній вирішальну роль. GitHub, як провідна у світі платформа для розробки програмного забезпечення, містить величезний набір інструментів, призначених для виявлення, аналізу та протидії різним кіберзагрозам, зокрема й такій поширеній небезпеці, як фішинг.
Сила відкритого програмного забезпечення в сфері кібербезпеки
Проєкти з відкритим кодом забезпечують безпрецедентну прозорість, що дає змогу дослідникам у сфері безпеки та розробникам у всьому світі ретельно аналізувати код, виявляти вразливості та брати участь у вдосконаленні. Така модель співпраці сприяє швидким інноваціям і створює надійні, перевірені спільнотою рішення для захисту від складних кібератак.
Основні ресурси для боротьби з фішингом
Окрім загальних засобів кібербезпеки, для безпосередньої боротьби з фішинговими атаками незамінними є кілька спеціалізованих ресурсів. Ці засоби варіюються від каналів інформації про загрози в режимі реального часу до сервісів аналізу URL-адрес та списків блокування, що формуються спільнотою:
- TweetFeed.live: Надає оперативну інформацію про кіберзагрози, яка часто містить попередження про фішингові кампанії, що поширюються в соціальних мережах.
- Phish.Report: Платформа для повідомлення про фішингові сайти, яка поповнює спільну базу даних, що допомагає блокувати шкідливі URL-адреси.
- URLQuery.net: Надає безкоштовну послугу з аналізу підозрілих URL-адрес, надаючи детальні звіти про їхню поведінку та потенційні загрози.
- Експериментальні твіти ThreatView.io з індикаторами загрози (IOC): Потік необроблених даних про індикатори компрометації (IOC), витягнутих із твітів, що є корисним для систем автоматичного виявлення загроз.
- Репозиторій фішингових атак Polkadot-JS: Репозиторій на GitHub, призначений для відстеження та виявлення фішингових атак, спрямованих проти екосистеми Polkadot.
- Відкриті дані сайту URLAbuse.com: Надає загальнодоступний перелік URL-адрес, щодо яких надійшли повідомлення про зловживання, який можна використовувати для оновлення списків заблокованих адрес.
- MetaMask/detect-eth-phishing: Проєкт з відкритим кодом від MetaMask, призначений для виявлення та запобігання фішинговим атакам, пов’язаним з Ethereum.
- Список заблокованих адрес Phishing.Army: Регулярно оновлюваний список заблокованих відомих фішингових URL-адрес, який веде спільнота Phishing.Army.
- Аналіз URL-адреси за допомогою VirusTotal: Популярний сервіс, який аналізує підозрілі файли та URL-адреси, надаючи інформацію, отриману від різних антивірусних двигунів та сервісів чорних списків.
- Phish Guard, синій: Веб-додаток, призначений для того, щоб допомогти користувачам виявляти фішингові посилання та уникати їх.
- Звіт Netcraft про фішинг: Платформа Netcraft для повідомлення про фішингові сайти, що сприяє їхнім комплексним заходам з боротьби з фішингом.
- Бот для фішингу «Seal» (Telegram): Бот у Telegram, який допомагає користувачам перевіряти посилання на наявність фішингу та повідомляти про підозрілу активність.
- URLScan.io: Безкоштовний сервіс, який сканує та аналізує веб-сайти, надаючи детальні звіти щодо їхнього вмісту, використовуваних технологій та потенційних шкідливих дій.
«У PhishDestroy ми твердо віримо в силу співпраці та прозорості у сфері кібербезпеки. Наша діяльність ґрунтується на принципах, що відповідають духу відкритого програмного забезпечення».
Набір інструментів для дослідників OSINT
Окрім списків блокування, для проведення справжнього розслідування потрібні більш глибокі засоби моніторингу. Наведені нижче інструменти з відкритим кодом становлять основу будь-якого робочого процесу з боротьби з фішингом — кожен із них є безкоштовним, підтримує використання скриптів та перевірений спільнотою в реальних умовах:
- urlscan.io — аналіз URL-адреси в ізольованому середовищі: повний знімок DOM, скріншоти, мережеві запити, дані сертифіката. Незамінний інструмент для збереження доказів перед видаленням контенту.
- VirusTotal — багатоканальний пошук інформації про репутацію URL-адрес, файлів, IP-адрес та хеш-значень. Надіславши сюди фішингову URL-адресу, ви забезпечуєте її виявлення десятками постачальників антивірусних програм та рішень EDR.
- Шодан — пошукова система для Інтернету речей та відкритих сервісів. Використовується для візуалізації інфраструктури шахраїв, виявлення хостинг-кластерів та пошуку панелей управління.
- Censys — перевірка прозорості сертифікатів та пошук за банерами; перехід від одного сертифіката TLS до сотні пов’язаних доменів тут є звичною справою.
- crt.sh — безкоштовний пошук у журналі Certificate Transparency, що ідеально підходить для виявлення нещодавно виданих сертифікатів-двійників, які імітують захищені торгові марки.
- Wayback Machine — зберігає знімки, які залишаються доступними навіть після зникнення оригінального сайту.
- WHOIS & ViewDNS.info — пошук даних про реєстрантів, зворотний пошук за IP-адресою та послідовне перенаправлення через DNS.
- Maltego CE — аналіз зв’язків на основі графіків; ідеально підходить для візуалізації мереж шахраїв, що охоплюють вузли електронної пошти, доменів, IP-адрес та соціальних мереж.
- theHarvester — збирає адреси електронної пошти, піддомени, імена хостів та імена співробітників із загальнодоступних джерел.
- Kali Linux — готовий до використання дистрибутив із сотнями інструментів OSINT та засобів безпеки.
Засоби захисту на стороні браузера
Більшість жертв фішингу потрапляють у пастку через один клік. Захисні механізми на рівні браузера зупиняють атаку ще до того, як вона досягне гаманця:
- MetaMask: виявлення фішингових атак на Ethereum — список заблокованих доменів, що входить до складу MetaMask та багатьох гаманців Web3 і блокує відомі фішингові сторінки ще до їх завантаження.
- PhishDestroy — список для знищення — Понад 130 тис. відібраних активних шахрайських та фішингових доменів у різних форматах (DNS, hosts, JSON, CSV), готових до інтеграції з Pi-hole, AdGuard, розширеннями для браузерів або корпоративними брандмауерами.
- Списки PhishFort — списки блокування криптофішингових сайтів, які оновлюються спільнотою.
- uBlock Origin + Privacy Badger — фільтрувати рекламні оголошення та трекери, що дозволяє значно зменшити ризик контакту з каналами поширення шкідливої реклами.
- ScamSniffer — Розширення для браузера з базою даних про шахрайські схеми у Web3, яке на сторінці попереджає про ризики, пов’язані з контрактами-«дрейнерами».
Канали інформації про загрози
Якщо ви керуєте SOC, CERT або комплексом засобів безпеки, підключіть ці загальнодоступні канали інформації про активну фішингову інфраструктуру:
- список для знищення — автоматичне оновлення, понад 130 тис. загроз, безкоштовний API, різні формати.
- OpenPhish — канал про фішинг у спільноті у форматі чистого тексту.
- PhishTank — URL-адреси, підтверджені як фішингові (Cisco/OpenDNS).
- URLhaus (abuse.ch) — URL-адреси, що поширюють шкідливе програмне забезпечення.
- TweetFeed — Інформація про міжнародні олімпійські комітети, зібрана з соціальних мереж, присвячених інформаційній безпеці.
- База даних шахрайських схем ScamSniffer — Чорні списки Web3.
YARA, «медові горщики» та активна оборона
- PhishingKit — правила Yara — виявляти відомі «відбитки» фішингових наборів у HTML/JS.
- Правила Yara — бібліотека правил, яку підтримує спільнота.
- «Медові горщики» & токени «Canary» — canarytokens.org, MazeRunner CE.
- Операція «Такедаун» — наша власна колекція скриптів для активного протидії фішинговим кампаніям.
Робочий процес — від підказки до зняття
У типовому розслідуванні ці інструменти використовуються послідовно:
- Отримати потенційного клієнта — звіт громади (Бот у Telegram), виявлення парсером платної реклами або сповіщення з журналу CT.
- Підтвердити фішинг — пісочниця через urlscan.io; перехресна перевірка за допомогою VirusTotal, OpenPhish, PhishTank.
- Карта інфраструктури — скористайтеся сервісами Censys/Shodan, щоб знайти пов’язані домени, IP-адреси та сертифікати.
- Зберегти докази — Знімок із Wayback, архів urlscan, повне збереження HTML/JS, скріншоти.
- Повідомити партнерів — надіслати інформацію понад 50 постачальникам антивірусного програмного забезпечення, подати скаргу щодо зловживання до реєстратора/хостинг-провайдера, опублікувати інформацію у стрічках MetaMask та ScamSniffer.
- Монітор — підтвердіть видалення; стежте за можливим повторним появою на сусідніх IP-адресах або на щойно зареєстрованих сайтах-двійниках.
Дізнатися більше:Анатомія прийома · Реєстратори, які сприяють шахрайству · Посібник з безпеки криптовалют
Використовуючи ці інструменти з відкритим кодом, як приватні особи, так і малі та великі підприємства можуть суттєво покращити свій рівень кібербезпеки. Колективний інтелект та постійний розвиток спільноти відкритого програмного забезпечення є безцінними ресурсами у безперервній боротьбі з кіберзлочинністю. Будьте пильними, слідкуйте за новинами та використовуйте можливості відкритого програмного забезпечення, щоб захистити себе та свою спільноту.
