как продлить жизнь фиш домена?

[ordinaria1]

вопрос, как бороться с детектами фишинга от гугла(gsb) и не только, кроме как антибота, клоаки и обфускации скриптов и хтмл?

например есть красивый домен, на котором стоит фиш банка какой то страны (не юса) а так же клоака, антибот, клаудфлаер(?), обфуксация, вайт + с непостоянным онлайном.
как сделать, что бы домен жил долго и счастливо без алертов и делегирования как можно дольше?

 

[man514lo]

this way you can also send each specific SMS/spam with a unique sessid token to keep statistic of best spamming results and control who sees the page and who doesn't. if researcher visits, it will only show simple fake page. redirecting will make domain seem suspicious and lead to it being flagged.

how can you send SMS with an unique SessID Token if using a Bulk SMS Sender please ?

 

[vei]

how can you send SMS with an unique SessID Token if using a Bulk SMS Sender please ?

buy short domain, turn it into a link shortener that redirects to your actual landing page. create unique shortened links as part of the spamming schema

 

[mor]

Можно попробовать:
- Доступ к сайту строго по определенному URL, который отправляется при рассылке. (пример: mydomen.cc/uiwehb64tcvdgwfshrjhg) С фтльтрацией гуглоботов, естественно.
- Доступ к сайту сторого по рефу. Реф - прокладка перед фишем. Т.е. любые другие переходы или прямой заход на сайт с фишем недоступен.
- Можно поколдовать с HAProxy.

Дополгительно:
Ограничить GEO регионом работы фишинга.

 

[man514lo]

buy short domain, turn it into a link shortener that redirects to your actual landing page. create unique shortened links as part of the spamming schema

Ok will try it thanks !

 

[Rockefeller]

что бы продлить жизнь фиш домена можно заюзать клоаку

 

[Skalen]

1) https://www.chainabuse.com/reports (в основном крипта)
2) https://phishtank.org/phish_archive.php (старички, фид обновляется хорошо, но морально устарел по сравнению с конкурентами, зато доступ бесплатный)
3) https://openphish.com/ (рекомендую платную подписку)
4) https://urlscan.io/search/ (можно очень много интересного дернуть, есть внятное АПИ)
5) https://otx.alienvault.com/browse/global/pulses?include_inactive=0&sort=-modified&page=1&limit=10 (нужно работать с АПИ, без опыта будет сложно)
6) https://twitter.com/PhishStats теперь удобно завернуто сюда: https://phishstats.info/phish_score.csv
пример вывода через АПИ: раз, два
7) пример твиттера активиста №1: https://twitter.com/PhishFindR (их много, мне лень всех собирать)
данные все складирует сюда: https://github.com/mitchellkrogza/Phishing.Database
8) пример твиттер-активиста №2: https://twitter.com/phishunt_io
фид: https://phishunt.io/feed.txt
9) пример твиттер-активиста №3: https://twitter.com/JCyberSec_ - очень много примеров смс-фишинга
10) массовый абузер NameCheap через твиттер, куча примеров фейков MetaMask: https://twitter.com/dubstard

Общий отчет, но я рекомендую следить за репортами этой организации: https://docs.apwg.org/reports/apwg_trends_report_q2_2022.pdf (несколько лет назад я оформлял там членство, лол, только ради их закрытого фида)
COFENCE, пример хорошего репорта: https://cofense.com/wp-content/uploads/2022/03/2022-AnnualReport-Final-Web.pdf

Ресерчи (из последнего интересного):
1) https://krebsonsecurity[.]com/2022/11/disneyland-malware-team-its-a-puny-world-after-all/ (огромное спасибо Браяну, что продолжает палить темы)
2) https://www.akamai.com/blog/security-research/sophisticated-phishing-scam-abusing-holiday-sentiment
3) https://blog.cyble.com/2022/11/15/phishing-campaign-targeting-indonesian-bri-bank-using-sms-stealer/
4) https://cloudsek.com/threatintellig...an-investigation-into-the-impersonation-scam/
5) https://www.trendmicro.com/en_us/research/22/k/earth-preta-spear-phishing-governments-worldwide.html (APT-группы - лучшие учителя, читайте внимательно)
6) https://circleid.com/posts/20220908...security-domain-infrastructure?mc=socialmedia (к сожалению, без деталей, но размах наводит на мысли, обзор по иранцам)
7) https://www.trellix.com/en-us/about...mail-cyberattacks-on-arab-countries-rise.html (кратенько, но тренд понятен).

Материала куча на самом деле, Твиттер до сих пор самый удобный инструмент, чтобы ничего не пропускать.

не подскажешь где можно проверить домены на бренд и трейдмарку?

 

[bratva]

не подскажешь где можно проверить домены на бренд и трейдмарку?

Trademark Search 🔎 Free Tool

Do you need to check if your trademark is available or registered? ✔️ Use our Free Trademark Search Tool, ✔️☝ Enter and take a look

trademark-search.marcaria.com

Никогда не используй бренд в домене, особенно в случае банков, их сканируют еще на момент регистрации во многих зонах многие конторы типа той же Маркарии. Ты можешь использовать бренд в сабдомене и при умной работе (клоака) избежать практически любых проблем с блокировками и дитектами.

 

[Skalen]

Trademark Search 🔎 Free Tool

Do you need to check if your trademark is available or registered? ✔️ Use our Free Trademark Search Tool, ✔️☝ Enter and take a look

trademark-search.marcaria.com

Никогда не используй бренд в домене, особенно в случае банков, их сканируют еще на момент регистрации во многих зонах многие конторы типа той же Маркарии. Ты можешь использовать бренд в сабдомене и при умной работе (клоака) избежать практически любых проблем с блокировками и дитектами.

а если допустим пробовать платный сертификат от cloud flare

 

[bratva]

а если допустим пробовать платный сертификат от cloud flare

Я не понимаю, твоего вопроса:
1. Можно ли получить платный сертификат на фишинг-домен? Да.
2. Можно ли получать сертификаты на домены с брендами? Да.
3. Теперь у меня вопрос: зачем в принципе платный сертификат на фишинг-домен при наличии бесплатного Let's Encrypt?

 

[Skalen]

Я не понимаю, твоего вопроса:
1. Можно ли получить платный сертификат на фишинг-домен? Да.
2. Можно ли получать сертификаты на домены с брендами? Да.
3. Теперь у меня вопрос: зачем в принципе платный сертификат на фишинг-домен при наличии бесплатного Let's Encrypt?

ssl-сертификаты при создании попадают в специальный фид, Let's Encrypt точно туда летит и чекается антивирусами но может не все серты туда летят?

 

[bratva]

ssl-сертификаты при создании попадают в специальный фид, Let's Encrypt точно туда летит и чекается антивирусами но может не все серты туда летят?

Search results for 'phishing order:latest_topic' - Let's Encrypt Community Support

Let's Encrypt Community Support

community.letsencrypt.org

Дальше, плиз, постарайся думать своей головой. Это была подсказка, куда думать.

 

[Haunted]

Зеркала/твоя задача сдержать только домен, а не ссылку.

 

[privatetoolz]

~ keeping domain active only when spamming will do absolutely nothing (when you start spamming it's the most hot trend for the bots to crawl your page)

~ don't add redirects instantly after access to the link, bots really hate that

~ allowing only access with some GET params (domain.com/?token=xxxx) its completely useless, because you will spam this link and bots will access this link through the email (even if sending unique, doesn't matter)

~ regular hosting providers will kill your domain if being reported immediatelly, bulletproof hosting won't kill your domain on report by real users (doesn't mean it won't go red)

~ antibots are very useful, but you cannot fully rely on them since the bots are constantly changing their IP, UserAgent, etc (also sometimes hate them because they block real users if the antibots are very strict)

~ if your page is down before spam, probably using some low quality antibots or fully rely on them

what's workin?

1) buy two domains. first domain will be just a page with a captcha and antibots as well. second domain will be the scampage. any access on the second domain should be completely blocked by anyone. and only accept traffic redirected from the first domain. this method is not foolproof tho. real users with programming capabilities can bypass this, but bots for now very hard.

2) live panel which manually allow and block traffic. we have currently build a new telegram smart live panel which instantly sents you a notification about the access and deep fingerprint info about the user/bot trying to access the page. you have three options for now, to allow it, to block it or to request a captcha before allowed. also the panel has a lot more features like bypass otp / 2fa, etc