Chuyển thẳng đến nội dung chính
An ninh mạng

GitHub Arsenal: Các công cụ mã nguồn mở để chống tội phạm mạng

Trong bối cảnh các mối đe dọa mạng không ngừng thay đổi, các công cụ mã nguồn mở trên GitHub mang lại một phương thức phòng thủ hiệu quả.

Cuộc chiến chống tội phạm mạng là một nỗ lực toàn cầu, và cộng đồng mã nguồn mở đóng vai trò then chốt. GitHub, với tư cách là nền tảng hàng đầu thế giới về phát triển phần mềm, lưu trữ một loạt các công cụ được thiết kế để phát hiện, phân tích và chống lại các mối đe dọa mạng khác nhau, bao gồm cả mối đe dọa ngày càng lan rộng từ các vụ lừa đảo qua email (phishing).

Sức mạnh của phần mềm nguồn mở trong an ninh mạng

Bảng tổng hợp các công cụ OSINT mã nguồn mở — những công cụ chúng tôi sử dụng để điều tra các vụ lừa đảo
Bảng tổng hợp các công cụ OSINT mã nguồn mở — những công cụ chúng tôi sử dụng để điều tra các vụ lừa đảo

Các dự án mã nguồn mở mang lại mức độ minh bạch vô song, cho phép các nhà nghiên cứu bảo mật và nhà phát triển trên toàn thế giới xem xét kỹ lưỡng mã nguồn, phát hiện các lỗ hổng bảo mật và đóng góp vào việc cải tiến. Mô hình hợp tác này thúc đẩy sự đổi mới nhanh chóng và tạo ra các giải pháp vững chắc, đã được cộng đồng kiểm chứng để chống lại các cuộc tấn công mạng tinh vi.

Các nguồn lực quan trọng trong cuộc chiến chống lừa đảo qua email

Ngoài các công cụ an ninh mạng chung, một số tài nguyên chuyên biệt có giá trị vô cùng to lớn trong việc chống lại trực tiếp các nỗ lực lừa đảo qua email. Các công cụ này bao gồm từ nguồn cấp dữ liệu về mối đe dọa theo thời gian thực đến các dịch vụ phân tích URL và danh sách chặn do cộng đồng quản lý:

  • TweetFeed.live: Cung cấp nguồn thông tin tình báo về các mối đe dọa mạng theo thời gian thực, thường bao gồm các cảnh báo sớm về các chiến dịch lừa đảo qua email được chia sẻ trên mạng xã hội.
  • Phish.Report: Một nền tảng để báo cáo các trang web lừa đảo, góp phần xây dựng cơ sở dữ liệu chung nhằm giúp chặn các URL độc hại.
  • URLQuery.net: Cung cấp dịch vụ miễn phí để phân tích các URL đáng ngờ, đồng thời cung cấp các báo cáo chi tiết về hành vi của chúng và các mối đe dọa tiềm ẩn.
  • Các tweet về các chỉ số nhận diện mối đe dọa (IOC) thử nghiệm trên ThreatView.io: Nguồn dữ liệu thô về các chỉ số xâm nhập (IOC) được trích xuất từ các bài đăng trên Twitter, hữu ích cho các hệ thống phát hiện mối đe dọa tự động.
  • Kho lưu trữ các vụ lừa đảo qua Polkadot-JS: Một kho lưu trữ GitHub chuyên theo dõi và phát hiện các nỗ lực lừa đảo nhắm vào hệ sinh thái Polkadot.
  • Dữ liệu công khai trên URLAbuse.com: Cung cấp danh sách công khai các URL bị báo cáo là có nội dung lạm dụng, có thể được sử dụng để cập nhật danh sách chặn.
  • MetaMask/phát hiện lừa đảo liên quan đến Ethereum: Một dự án mã nguồn mở do MetaMask phát triển nhằm phát hiện và ngăn chặn các vụ lừa đảo liên quan đến Ethereum.
  • Danh sách chặn của Phishing.Army: Danh sách chặn các URL lừa đảo đã biết, được cập nhật thường xuyên và quản lý bởi cộng đồng Phishing.Army.
  • Phân tích URL trên VirusTotal: Một dịch vụ được sử dụng rộng rãi để phân tích các tệp và URL đáng ngờ, cung cấp thông tin chi tiết từ nhiều công cụ chống vi-rút và dịch vụ danh sách đen.
  • Phish Guard Xanh dương: Một ứng dụng web được thiết kế để giúp người dùng nhận diện và tránh các liên kết lừa đảo.
  • Báo cáo về lừa đảo trực tuyến của Netcraft: Nền tảng của Netcraft dành cho việc báo cáo các trang web lừa đảo, góp phần vào các nỗ lực chống lừa đảo toàn diện của họ.
  • Bot lừa đảo Seal (Telegram): Một bot Telegram giúp người dùng kiểm tra các liên kết xem có phải là lừa đảo hay không và báo cáo các hoạt động đáng ngờ.
  • URLScan.io: Một dịch vụ miễn phí chuyên quét và phân tích các trang web, cung cấp các báo cáo chi tiết về nội dung, công nghệ và các hoạt động độc hại tiềm ẩn của chúng.

"Tại PhishDestroy, chúng tôi tin tưởng vững chắc vào sức mạnh của sự hợp tác và tính minh bạch trong lĩnh vực an ninh mạng. Những nỗ lực của chúng tôi được xây dựng dựa trên các nguyên tắc phù hợp với tinh thần mã nguồn mở."

Bộ công cụ dành cho các nhà điều tra OSINT

Ngoài việc sử dụng danh sách chặn, một cuộc điều tra thực sự đòi hỏi phải có các công cụ giám sát chuyên sâu hơn. Các công cụ mã nguồn mở sau đây là nền tảng của bất kỳ quy trình xử lý các vụ lừa đảo qua email nào — mỗi công cụ đều miễn phí, có thể lập trình và đã được cộng đồng kiểm chứng qua thực tế:

  • urlscan.io — Phân tích URL trong môi trường cách ly: ảnh chụp nhanh toàn bộ DOM, ảnh chụp màn hình, các yêu cầu mạng, chi tiết chứng chỉ. Rất cần thiết để bảo toàn bằng chứng trước khi gỡ bỏ trang web.
  • VirusTotal — Tìm kiếm danh tiếng đa nguồn cho các URL, tệp tin, địa chỉ IP và giá trị băm. Việc gửi một URL lừa đảo tại đây sẽ giúp thông báo phát hiện đến hàng chục nhà cung cấp phần mềm chống vi-rút (AV) và giải pháp phát hiện và phản ứng sự cố (EDR).
  • Shodan — Công cụ tìm kiếm về Internet of Things (IoT) và các dịch vụ bị lộ. Được sử dụng để lập bản đồ cơ sở hạ tầng của những kẻ lừa đảo, xác định các cụm máy chủ lưu trữ và phát hiện các bảng điều khiển.
  • Censys — Tính minh bạch của chứng chỉ và tìm kiếm qua banner; việc chuyển hướng từ một chứng chỉ TLS sang hàng trăm tên miền liên quan là chuyện thường ngày ở đây.
  • crt.sh — Tìm kiếm miễn phí trong nhật ký Certificate Transparency, rất phù hợp để phát hiện các chứng chỉ giả mạo mới được cấp nhắm vào các thương hiệu được bảo hộ.
  • Wayback Machine — lưu giữ các bản chụp nhanh vẫn tồn tại ngay cả khi trang web gốc không còn nữa.
  • WHOIS & ViewDNS.info — tra cứu thông tin người đăng ký, tra cứu ngược địa chỉ IP và chuyển hướng DNS.
  • Maltego CE — Phân tích liên kết dựa trên đồ thị; rất phù hợp để trực quan hóa các mạng lưới lừa đảo thông qua các nút email, tên miền, địa chỉ IP và mạng xã hội.
  • theHarvester — thu thập địa chỉ email, tên miền con, tên máy chủ và tên nhân viên từ các nguồn công khai.
  • Kali Linux — bản phân phối đã được cài đặt sẵn với hàng trăm công cụ OSINT và bảo mật.

Các biện pháp phòng thủ phía trình duyệt

Hầu hết các nạn nhân của lừa đảo qua email đều bị lừa ngay từ cú nhấp chuột đầu tiên. Các biện pháp phòng thủ ở lớp trình duyệt sẽ chặn đứng cuộc tấn công trước khi nó kịp tiếp cận ví tiền điện tử:

  • MetaMask phát hiện lừa đảo liên quan đến Ethereum — danh sách chặn tên miền được tích hợp sẵn trong MetaMask và nhiều ví Web3 khác, giúp chặn các trang lừa đảo đã biết trước khi chúng được tải.
  • PhishDestroy danh sách tiêu diệt — Hơn 130.000 tên miền lừa đảo và đánh cắp thông tin đã được chọn lọc và đang hoạt động, dưới nhiều định dạng (DNS, hosts, JSON, CSV), sẵn sàng để tích hợp với Pi-hole, AdGuard, các tiện ích mở rộng trình duyệt hoặc tường lửa doanh nghiệp.
  • Danh sách PhishFort — các danh sách chặn lừa đảo tiền điện tử do cộng đồng quản lý.
  • uBlock Origin + Privacy Badger — lọc quảng cáo và trình theo dõi, giúp giảm đáng kể nguy cơ tiếp xúc với các kênh phân phối quảng cáo độc hại.
  • ScamSniffer — Tiện ích mở rộng cơ sở dữ liệu lừa đảo Web3 giúp hiển thị ngay trên trang các rủi ro liên quan đến hợp đồng “drainer”.

Nguồn tin tình báo về mối đe dọa

Nếu bạn đang vận hành một SOC, CERT hoặc hệ thống bảo mật, hãy tích hợp các nguồn dữ liệu công khai sau đây về cơ sở hạ tầng lừa đảo đang hoạt động:

  • danh sách tiêu diệt — Tự động cập nhật, hơn 130.000 mối đe dọa, API miễn phí, nhiều định dạng.
  • OpenPhish — nguồn tin về các vụ lừa đảo qua email trong cộng đồng dưới dạng văn bản thuần túy.
  • PhishTank — các URL lừa đảo đã được xác minh (Cisco/OpenDNS).
  • URLhaus (abuse.ch) — các URL phân phối phần mềm độc hại.
  • TweetFeed — Các IOC được thu thập từ các nền tảng mạng xã hội về an ninh thông tin.
  • Cơ sở dữ liệu lừa đảo của ScamSniffer — Danh sách đen Web3.

YARA, Honeypots và Phòng thủ chủ động

Quy trình làm việc — Từ khi nhận được thông tin đến khi gỡ bỏ

Một cuộc điều tra điển hình sẽ kết hợp các công cụ này lại với nhau như sau:

  1. Nhận được một khách hàng tiềm năng — một báo cáo của cộng đồng (Bot Telegram), một kết quả phân tích quảng cáo trả phí, hoặc một cảnh báo từ nhật ký CT.
  2. Xác nhận lừa đảo — kiểm tra trong môi trường thử nghiệm qua urlscan.io; đối chiếu với VirusTotal, OpenPhish, PhishTank.
  3. Cơ sở hạ tầng bản đồ — Sử dụng Censys/Shodan để tìm các tên miền, địa chỉ IP và chứng chỉ liên quan.
  4. Bảo quản chứng cứ — Bản chụp nhanh Wayback, kho lưu trữ urlscan, bản sao lưu đầy đủ HTML/JS, ảnh chụp màn hình.
  5. Thông báo cho các đối tác — gửi thông tin đến hơn 50 nhà cung cấp phần mềm chống vi-rút, báo cáo hành vi lạm dụng với nhà đăng ký tên miền/nhà cung cấp dịch vụ lưu trữ, đồng thời chia sẻ lên các nguồn cấp dữ liệu của MetaMask và ScamSniffer.
  6. Màn hình — Xác nhận việc gỡ bỏ; theo dõi xem nội dung có xuất hiện trở lại trên các địa chỉ IP lân cận hay các tên miền trùng tên vừa được đăng ký mới hay không.

Đọc thêm:Phân tích chi tiết một đòn quật ngã · Các cơ quan đăng ký tên miền tạo điều kiện cho các vụ lừa đảo · Hướng dẫn bảo mật tiền điện tử

Bằng cách tận dụng các công cụ mã nguồn mở này, cá nhân, doanh nghiệp nhỏ và các tập đoàn lớn đều có thể nâng cao đáng kể khả năng bảo mật mạng của mình. Trí tuệ tập thể và sự phát triển không ngừng trong cộng đồng mã nguồn mở là những tài sản vô giá trong cuộc chiến không ngừng nghỉ chống lại tội phạm mạng. Hãy luôn cảnh giác, cập nhật thông tin và tận dụng sức mạnh của mã nguồn mở để bảo vệ bản thân và cộng đồng của bạn.

#OpenSource#Cybersecurity#AntiPhishing#GitHub

Chia sẻ bài viết này

#OpenSource#SecurityTools#GitHub#AntiPhishing#Guide
Thông báo về tính minh bạch. PhishDestroy là một dự án độc lập, phi thương mại. Các nghiên cứu của chúng tôi có thể phản ánh sự thiên vị vốn có đối với cơ sở hạ tầng lừa đảo và các dịch vụ hỗ trợ cho hoạt động này. Chúng tôi khuyến khích độc giả đánh giá tất cả các tài liệu một cách khách quan và độc lập. Xem toàn văn tuyên bố về tính minh bạch của chúng tôi →