как продлить жизнь фиш домена?

[ordinaria1]

вопрос, как бороться с детектами фишинга от гугла(gsb) и не только, кроме как антибота, клоаки и обфускации скриптов и хтмл?

например есть красивый домен, на котором стоит фиш банка какой то страны (не юса) а так же клоака, антибот, клаудфлаер(?), обфуксация, вайт + с непостоянным онлайном.
как сделать, что бы домен жил долго и счастливо без алертов и делегирования как можно дольше?

 

[vei]

keep domain inactive and only activate during short bursts of spamming. if they are going to visit/click your url, they would have done so within the first hour of it being spammed/sent out. beyond that, it is just researchers.

when visiting url, do not have it redirect. have it be a simple fake website and only show the phishing page when a specific token is added to url. (ex. example.com shows simple site, example.com/?sessid=hd83JjKSOauei92 will show the phishing page and the session itself will expire and not show anymore an hour after it is first visited.)

this way you can also send each specific SMS/spam with a unique sessid token to keep statistic of best spamming results and control who sees the page and who doesn't. if researcher visits, it will only show simple fake page. redirecting will make domain seem suspicious and lead to it being flagged.
Последнее редактирование: 09.11.2022

 

[d0s]

vei сказал(а):
use search function, answered many times already on this forum

давай наставь мне диссов американский новокек. надеюсь модер взял тебя на контроль

UPD: чел выше мутный, переобулся.

 

[vei]

seems like you are a little butt hurt, d0s

 

[Funkagolik]

Тебе ответил амер, чернуха должна литься точечно и на коротких промежутках времени... Если хочешь это делать не меняя постоянно материал (домены и тд)

В серую так делали и раньше, думаю мало что поменялось - есть конвертящий поток, белый, самые жирные пабы которого, точечно, при помощи рулзов в трекере, заклоачившись, льют на серые офферы + постоянно надо собирать гуглоботов, на проливах, чтобы убирать их в блек,а такой анализ траффика тебе могут дать только те, кто льют на объёме, это вайт / редко серые офферы онли....

Идеальный вариант, это найти серого спамера, кто работает на объемах, у кого есть бюджет и он тратит реально бабки на анализ / разработку рабочих связок постоянно... Предложить ему нормальные условия и работать


Топовые спамеры на всю эту порнуху смотрят смеясь, т.к. с их инструментарием, любой, я думаю даже шкафник, ребенок по выручкам

 

[ordinaria1]

Funkagolik
траф с поисковиков

 

[bratva]

Кейворды и трейдмарки в доменах не используй, множество сервисов для мониторинга таких доменов в файлах зон (т.е. от момента регистрации до дитекта может пройти всего несколько минут).

Посмотри какую схему юзали RockPhish* годами: https://www.markmonitor.com/download/wp/wp-rockphish.pdf
Бренд или кейворд шел сабом или на сабдомене (через .htaccess их уже клоачишь от ботов). Схема до сих пор разумная и рабочая (как и методика работы с доменами на потоке).

* P.S. Жив еще кто? Вова ?

 

[DyNasTo]

ordinaria1 сказал(а):
вопрос, как бороться с детектами фишинга от гугла(gsb) и не только, кроме как антибота, клоаки и обфускации скриптов и хтмл?

например есть красивый домен, на котором стоит фиш банка какой то страны (не юса) а так же клоака, антибот, клаудфлаер(?), обфуксация, вайт + с непостоянным онлайном.
как сделать, что бы домен жил долго и счастливо без алертов и делегирования как можно дольше?

Такой же вопрос интересует.
Сейчас домены сильно душат

 

[Gulag1]

bratva сказал(а):
Кейворды и трейдмарки в доменах не используй, множество сервисов для мониторинга таких доменов в файлах зон (т.е. от момента регистрации до дитекта может пройти всего несколько минут).

Посмотри какую схему юзали RockPhish* годами: https://www.markmonitor.com/download/wp/wp-rockphish.pdf
Бренд или кейворд шел сабом или на сабдомене (через .htaccess их уже клоачишь от ботов). Схема до сих пор разумная и рабочая (как и методика работы с доменами на потоке).

* P.S. Жив еще кто? Вова ?

привет, а можно в лс побольше ресурсов по анализам фишингов\разборов инструментов? буду блгодарен!

 

[mogul]

h2ok сказал(а):
Посмотреть вложение 44706

This might help you
screenshot from this post: https://xss.is/threads/74900/#post-517150

There are also a lot of other factors for example your phising page, if you use for example uadmin there are bots that scan newly made sites for the known uadmin paths and that will make your hosting/domain go dead too

What I recomend you to do is get an page that has an clean source, this reduces the chances of it becoming red to a lot

 

[bratva]

Gulag1 сказал(а):
привет, а можно в лс побольше ресурсов по анализам фишингов\разборов инструментов? буду блгодарен!

1) https://www.chainabuse.com/reports (в основном крипта)
2) https://phishtank.org/phish_archive.php (старички, фид обновляется хорошо, но морально устарел по сравнению с конкурентами, зато доступ бесплатный)
3) https://openphish.com/ (рекомендую платную подписку)
4) https://urlscan.io/search/ (можно очень много интересного дернуть, есть внятное АПИ)
5) https://otx.alienvault.com/browse/global/pulses?include_inactive=0&sort=-modified&page=1&limit=10 (нужно работать с АПИ, без опыта будет сложно)
6) https://twitter.com/PhishStats теперь удобно завернуто сюда: https://phishstats.info/phish_score.csv
пример вывода через АПИ: раз, два
7) пример твиттера активиста №1: https://twitter.com/PhishFindR (их много, мне лень всех собирать)
данные все складирует сюда: https://github.com/mitchellkrogza/Phishing.Database
8) пример твиттер-активиста №2: https://twitter.com/phishunt_io
фид: https://phishunt.io/feed.txt
9) пример твиттер-активиста №3: https://twitter.com/JCyberSec_ - очень много примеров смс-фишинга
10) массовый абузер NameCheap через твиттер, куча примеров фейков MetaMask: https://twitter.com/dubstard

Общий отчет, но я рекомендую следить за репортами этой организации: https://docs.apwg.org/reports/apwg_trends_report_q2_2022.pdf (несколько лет назад я оформлял там членство, лол, только ради их закрытого фида)
COFENCE, пример хорошего репорта: https://cofense.com/wp-content/uploads/2022/03/2022-AnnualReport-Final-Web.pdf

Ресерчи (из последнего интересного):
1) https://krebsonsecurity[.]com/2022/11/disneyland-malware-team-its-a-puny-world-after-all/ (огромное спасибо Браяну, что продолжает палить темы)
2) https://www.akamai.com/blog/security-research/sophisticated-phishing-scam-abusing-holiday-sentiment
3) https://blog.cyble.com/2022/11/15/phishing-campaign-targeting-indonesian-bri-bank-using-sms-stealer/
4) https://cloudsek.com/threatintellig...an-investigation-into-the-impersonation-scam/
5) https://www.trendmicro.com/en_us/research/22/k/earth-preta-spear-phishing-governments-worldwide.html (APT-группы - лучшие учителя, читайте внимательно)
6) https://circleid.com/posts/20220908...security-domain-infrastructure?mc=socialmedia (к сожалению, без деталей, но размах наводит на мысли, обзор по иранцам)
7) https://www.trellix.com/en-us/about...mail-cyberattacks-on-arab-countries-rise.html (кратенько, но тренд понятен).

Материала куча на самом деле, Твиттер до сих пор самый удобный инструмент, чтобы ничего не пропускать.
Последнее редактирование: 23.11.2022

 

[Gulag1]

bratva сказал(а):
Материала куча на самом деле

спасибо тебе огромное! с меня +

 

[kolosok7]

А если для фиша используется ReverseProxy и эти анализы гугла убивают домен почти сразу, не подскажите как бороться тут ?

 

[vei]

kolosok7 сказал(а):
And if ReverseProxy is used for the fish and these Google analyzes kill the domain almost immediately, do not tell me how to fight here?

search engines will always find you. even if your robots.txt restricts it, SE crawlers, like google's, will still index it with the only difference being that it won't categorize your pages or fetch site data to display.

the same goes with blocking the crawler IPs. your best bet is to display a totally different fake site so that when a specific IP (crawlers) visits, it gets indexed as the fake. keep SEO in mind when wanting to stay under the radar. realistically though, more backend/quiet crawlers change user-agent and IPs all the time, so it's impossible to stay truly hidden.

what you can do is display a fake site template and follow my original post above. then, set only the spammed visitor cookies/session (and save their IP) with a "secret key" that loads/displays your malicious site and not the fake one. this way, if they visit the website again after looking around and do not have any GET parameters in the URL (example.com/token=jsjdjdjsjs), it will still display the malicious page.
Последнее редактирование: 28.11.2022

 

[kolosok7]

vei сказал(а):
search engines will always find you. even if your robots.txt restricts it, SE crawlers, like google's, will still index it with the only difference being that it won't categorize your pages or fetch site data to display.

the same goes with blocking the crawler IPs. your best bet is to display a totally different fake site so that when a specific IP (crawlers) visits, it gets indexed as the fake. keep SEO in mind when wanting to stay under the radar. realistically though, more backend/quiet crawlers change user-agent and IPs all the time, so it's impossible to stay truly hidden.

what you can do is display a fake site template and follow my original post above. then, set only the spammed visitor cookies/session (and save their IP) with a "secret key" that loads/displays your malicious site and not the fake one. this way, if they visit the website again after looking around and do not have any GET parameters in the URL (example.com/token=jsjdjdjsjs), it will still display the malicious page.

For this I will need to know the IP of the victim, if the domain is made for spam (for mass mailing or for victims from search engines as google) then there is no way to avoid it?

 

[vei]

kolosok7 сказал(а):
For this I will need to know the IP of the victim, if the domain is made for spam (for mass mailing or for victims from search engines as google) then there is no way to avoid it?

you don't need to know their IP, generate a specific token for them, like example.com/token?=xxxxxx and when spamming, you can create specific urls.
so say you SMS spam, you do this for each number.

lets say you're spamming to 123-123-1234,
you create a specific url for it: example.com/xxx and when they visit, display the malicious site and you can now also connect the visitor to the phone number for future phishing, etc. once done, remove that xxx redirect token from the db. all visitors that visit example.com/bbbb and bbbb token doesn't exist for example, show different safe site.

after 12 hour, clear the entire db of all tokens as anyone who would have clicked would have done so by now and any visitors now are researchers or AVs. during initial spam, clear a token after user submits the data and token is finished for that user, or if they visit and don't enter data after 30 minutes of visiting (so they cannot share link with anyone else. if they were going to enter data into phish, they would have done so before 30 min expires anyway).

on an additional note, verify your phish domain with google by adding to the DNS a TXT verification record. let google index and display the 'safe' version of the site, but remember to make it related to whoever company you are phishing. like, if you are phishing Citizens, make your safe version be Foreign Banking Consultation Company or Accounting Firm... etc
Последнее редактирование: 03.12.2022

 

[kolosok7]

vei сказал(а):
you don't need to know their IP, generate a specific token for them, like example.com/token?=xxxxxx and when spamming, you can create specific urls.
so say you SMS spam, you do this for each number.

lets say you're spamming to 123-123-1234,
you create a specific url for it: example.com/xxx and when they visit, display the malicious site and you can now also connect the visitor to the phone number for future phishing, etc. once done, remove that xxx redirect token from the db. all visitors that visit example.com/bbbb and bbbb token doesn't exist for example, show different safe site.

after 12 hour, clear the entire db of all tokens as anyone who would have clicked would have done so by now and any visitors now are researchers or AVs. during initial spam, clear a token after user submits the data and token is finished for that user, or if they visit and don't enter data after 30 minutes of visiting (so they cannot share link with anyone else. if they were going to enter data into phish, they would have done so before 30 min expires anyway).

on an additional note, verify your phish domain with google by adding to the DNS a TXT verification record. let google index and display the 'safe' version of the site, but remember to make it related to whoever company you are phishing. like, if you are phishing Citizens, make your safe version be Foreign Banking Consultation Company or Accounting Firm... etc
Нажмите, чтобы раскрыть...

How to avoid detection Google safe Browsing (it's a built-in browser tool) ?

 

[vei]

kolosok7 сказал(а):
How to avoid detection Google safe Browsing (it's a built-in browser tool) ?

it's both a browser-style heuristic sandbox, as well as checks against a server that stores malicious URL.

there are methods to bypass, but is not worth it if your phish is only meant for short life. you should add ways to keep it alive during its initial launch, but after you spam it a few times it is not worth the effort when you can just create new phish.

 

[kolosok7]

vei сказал(а):
it's both a browser-style heuristic sandbox, as well as checks against a server that stores malicious URL.

there are methods to bypass, but is not worth it if your phish is only meant for short life. you should add ways to keep it alive during its initial launch, but after you spam it a few times it is not worth the effort when you can just create new phish.

The problem is that I do not even spam, just hanging domain (bots blocked), but after even 5/10 minutes phish marked red by Google Safe Brows

 

[givirus]

kolosok7 сказал(а):
The problem is that I do not even spam, just hanging domain (bots blocked), but after even 5/10 minutes phish marked red by Google Safe Brows

Do you use any antibot?