Dosya 04 / Domain / CTI

Phishing domain zinciri

Bir phishing iddiasında kısa link, lookalike domain, IP çözümlemesi ve içerik benzerliğini zincir halinde oku.

Gerçek vaka dayanağı: Citizen Lab'in phishing ve sızıntı kurgusunu birlikte kullanan alan adı zinciri analizi.

Orta35-55 dkCitizen Labphishingdomainpasif DNS

Veri paketi

01
Güvenlik uyarısı gibi görünen e-posta veya mesaj metni
02
Kısa URL, yönlenen alan adı ve görünen giriş sayfası
03
WHOIS/RDAP, pasif DNS, IP ve sertifika izleri
04
Aynı altyapıya bağlanan benzer kampanya parçaları

Görev

01
Mesajdaki bağlantıyı tıklamadan alan adı ve yönlendirme zincirini pasif kaynaklardan çıkar.
02
Lookalike domain ile gerçek servis alan adını karakter karakter karşılaştır.
03
Aynı IP, kayıt zamanı veya içerik kalıbı üzerinden kampanya bağını değerlendir.

İpucugizli

01
Kısa link, asıl hedefi saklar; önce genişletme ve arşiv kaynaklarına bak.
02
Benzer alan adı, farklı TLD, punycode veya tek karakter değişimi içerebilir.
03
Tek IP eşleşmesi kesin atıf değildir; zaman, içerik ve kayıt deseniyle desteklenmelidir.

Cevap anahtarıgizli

01
Doğru sonuç, phishing zincirini mesaj, kısa link, lookalike domain ve altyapı izi olarak göstermektir.
02
Citizen Lab örneğinde alan adı, mesaj kurgusu ve altyapı bilgisi birlikte okunarak kampanya bağlamı çıkarılmıştır.
03
Rapor sonucu: 'Bağlantı resmi servis değil; lookalike domain ve altyapı benzerliği phishing riskini destekliyor.'

Hatalı analiz örneği

Link Google uyarısı gibi görünüyor; kullanıcıya şifresini yenilemesi söylenebilir.

Doğru rapor örneği

Bağlantı canlı tıklanmadı; pasif kaynaklardan genişletildi. Nihai alan adı resmi servis alan adıyla eşleşmiyor ve benzer kampanya altyapısıyla ortak IP/zaman izi taşıyor. Sonuç phishing şüphesini güçlü biçimde destekliyor; kullanıcıya bağlantıya girmemesi ve kurumsal güvenlik ekibine iletmesi önerilir.