Kali ini TS akan membahas mengenai phising dan bagaimana solusi penangkalan/ mendeteksi domain web phising dengan programming phyton.

Apa itu Phising ?

Phising adalah salah satu metode yang di gunakan oleh para cyber criminal / hacker yang jahat untuk mencuri kata sandi atau password dengan cara mengelabui target menggunakan fake form login pada situs palsu yang dibuat menyerupai situs aslinya.


TS dalam kesempatan kali ini akan memaparkan salah satu tehnik untuk mendeteksi domain phising menggunakan free service dari CertStream

Apa itu Certificate Transparency Log?

Certificate Transparency Log (CTL) telah ada sejak tahun 2013 dan berisi hampir seratus juta sertifikat sampai saat ini. Log tersebut telah diperkenalkan sebagai upaya untuk melawan sertifikat yang diterbitkan secara salah, setelah diterbitkannya lebih dari 500 sertifikat palsu oleh Diginotar saat diretas oleh hacker.

Peneliti Google yang bernama Ben Laurie dan Adam Langley kemudian memulai Certificate Transparency agar proses penerbitan sertifikat lebih transparan dan terlihat oleh semua orang. Kedua peneliti ini yakin bahwa daftar publik akan membantu mengatasi masalah tersebut.

Ketika sebuah halaman HTTPS diakses, browser akan mengecek ke sertifikat yang diberikan oleh server apakah ada di daftar publik. Jika sertifikat tersebut tidak ada maka browser akan memperlakukannya sebagai "tidak dipercaya".

Pihak Perusahaan juga dapat memantau secara aktif daftar tersebut untuk menemukan sertifikat palsu. Para Cyber Criminal yang mampu mengambil sertifikat palsu tersebut tidak dapat menggunakannya kembali.



CertStream + phishing keywords =

TS mencoba CertStream sebagai free service untuk mendapatkan data dari Certificate Transparency Log (CTL). Menggunakan library Pythonuntuk mempermudah menerima catatan / log dari sertifikat.


TS tidak akan menjelaskan bagaimana cara progamming phyton panjang lebar karena bukan itu pointnya di thread ini, diasumsikan setelah terinstall dan sudah siap pakai script dari link diatas.

Maka selanjutnya yang harus dilakukan adalah memantau kata kunci (Keyword) yang dianggap mencurigakan seperti paypal, outlook, icloud, dll untuk mendapatkan earning warning, mendeteksi domain phishing sebelum mereka benar-benar beroperasi sepenuhnya.

Code:

appleid[.]icloudlphone[.]com

paypalaccountupadate[.]com

apple[.]appleidsecured[.]com

recovery-my-paypal[.]com-locale-country-us[.]help-accessid[.]net

paypal-login[.]com

[.]accounntreviews-highrisk[.]com

supports-apple-client-verified-info17[.]tk

secure[.]appleid[.]apple[.]com[.]ecc2a6[.]

infoappleid[.]com-jp-unlock-cloud[.]net

www[.]com-jp-unlock-cloud[.]net

member-ticket1117-paypal-webapps00211138822[.]ml*[.]com-login-required-attempt[.]com

accounts[.]login[.]yahoomail[.]support

support-appleid-login[.]com-servicss[.]com

account-information-paypal-blocked[.]tk

account-service.aactivitydisable[.]tk

myaccount-updated-security-limited-information[.]payungpal[.]com

myaccount-updated-security-limited-informations[.]payungpal[.]com

myaccount-updates-security-limited-information[.]payungpal[.]com

myaccount-updates-security-limited-informations[.]payungpal[.]com

myaccounts-updates-security-limited-information[.]payungpal[.]com

myaccounts-updates-security-limited-informations[.]payungpal[.]com

appleid[.]apple[.]com[.]datasecure[.]report

aple-verification[.]account-4pps-sing-in-manage-1nfo[.]com

www[.]aple-verification[.]account-4pps-sing-in-manage-1nfo[.]com

recovery-paypal[.]com-client[.]locale-country-us[.]net

Memang ada beberapa kategori yang masuk dalam false positif tetapi tidak terlalu membahayakan. Bagi yang ingin mengedit sendiri disesuaikan kebutuhan silahkan download sourcenya di GitHub. (cari sendiri gan)

EDIT : link source ga boleh di taruh di thread sama opicer, jadi googling sendiri yah yg membutuhkan.


Related topic :

NSA di bobol hacker| 5 Tahapan Menjadi Hacker

Sebagai penutup thread ini, TS menyajikan video dibawah ini bagaimana cara membedakan phising dengan contoh dari Paypal.