En angriber registrerer et domæne der ligner dit brand, kloner din loginside, skaffer et gratis TLS-certifikat og sender phishing-mails. Det tager under en time. Certifikatet logges i Certificate Transparency inden for minutter efter udstedelse — og det er jeres tidligste advarselssignal, hvis I ved hvor I skal kigge.

TLS-certifikater er blevet obligatoriske for phishing-sites, ikke valgfrie. Brugere er blevet betinget af at kigge efter hængelåsikonet som et tillids-signal — og moderne browsere viser aktive advarsler for ukrypterede sider. Resultatet er at angribere nu rutinemæssigt skaffer certifikater til phishing-infrastruktur, hvilket efterlader et spor i CT-logs som dit sikkerhedsteam kan overvåge.

Sådan sætter angribere phishing-infrastruktur op

Opbygning af troværdig phishing-infrastruktur er blevet commoditiseret. En typisk kampagne følger dette mønster:

  1. Domæneregistrering. Angriberen registrerer et domæne designet til at forveksles med dit — typosquatting (certconrtol.pro), homoglyph-angreb (certcоntrol.pro med kyrillisk 'о'), brand+søgeord (certcontrol-login.com), eller en kombination af dit brand med et nyt TLD (certcontrol.io, certcontrol.net).
  2. Sideopsætning. Angriberen kloner dit sites loginside og hoster den på det lookalike-domæne. Phishing-kits til populære brands er frit tilgængelige.
  3. TLS-certifikat-anskaffelse. Et gratis Let's Encrypt-certifikat skaffe via ACME. Dette tager minutter og kræver ingen menneskelig interaktion. Certifikatet logges i CT-logs umiddelbart efter udstedelse.
  4. Kampagnestart. Phishing-mails, SMS-beskeder eller sociale medie-indlæg sender mål til det lookalike-domæne.

Nøgleobservationen: certifikatet logges i CT-logs typisk timer eller dage før kampagnen begynder. CT-overvågning af dit brand giver dig mulighed for at opdage og reagere på infrastrukturen i det tidlige vindue. De samme logs, som angribere bruger til at kortlægge jeres angrebsflade, er en fordel når I selv overvåger dem for jeres brand.

Hvad I skal overvåge i CT-logs

Effektiv CT-baseret phishing-detektion kræver overvågning af specifikke mønstre:

  • Dit brandnavn i ukendte domæner. Certifikater udstedt til domæner der indeholder dit firmanavn, produktnavn eller primære domæne men ikke er under din kontrol. certcontrol-secure.com bør udløse en undersøgelse; certcontrol.pro (dit faktiske domæne) bør det ikke.
  • Typosquatting-varianter. Enkelt bogstav-transpositioner, dobbelt bogstaver, manglende bogstaver, almindelige tastatur-nærhedsfejl. Disse er kendetegnet for opportunistiske phishing-kampagner.
  • Uventede underdomæner under dine domæner. Hvis nogen opretter secure-login.ditdomæne.dk uden din vidende, bør det udløse et øjeblikkelig alarm — det er enten skygge-IT eller domæne-kompromittering.
  • Wildcard-certifikater på lookalike-domæner. Et *.certcontrol-login.com wildcard-certifikat tyder på at angriberen planlægger at bruge flere underdomæner — typisk et tegn på en mere sofistikeret kampagne.

Begrænsninger ved CT-baseret detektion

CT-overvågning er et effektivt tidligt advarselssystem, men har begrænsninger I bør forstå:

  • Det opdager ikke certifikatløse phishing-sites. Angribere kan skifte til privat PKI eller selvsignerede certifikater, selvom dette reducerer kampagnens effektivitet markant.
  • Falske positiver kræver triage. Legitime tjenester bruger undertiden domæner der ligner dit brand — konkurrenter, partnere, journalister der dækker din branche. Ikke hvert fund er ondsindet.
  • CT-logs opdager ikke DNS-kapring af dine egne domæner. Hvis en angriber kompromitterer din DNS, kan de rute trafik fra dit legitime domæne til en server de kontrollerer — intet nyt certifikat kræves.

Sådan reagerer I på et phishing-fund

Når CT-overvågning identificerer et sandsynligt phishing-domæne:

  1. Verificer at det er ondsindet. Tjek om domænet aktuelt hoster en phishing-side. Brug et sandkassemiljø eller en URL-analysetjeneste — besøg det ikke direkte fra et netværk der kan forbinde dig med din organisation.
  2. Rapporter til den udstedende CA. Alle offentlige CA'er har mekanismer til at rapportere svigagtigt eller upassende anvendelse af deres certifikater. Rapportering kan resultere i tilbagekaldelse af certifikatet.
  3. Rapporter til hosting-udbyderen og registraren. De fleste domæneregistratorer og hosting-udbydere har politikker mod phishing og vil handle på verificerede rapporter. ICANN har procedurer for domæner brugt i misbrug.
  4. Advar dine brugere hvis kampagnen er aktiv. Hvis du har beviser for at phishing-kampagnen er i gang, overvej proaktiv kommunikation til brugere om hvad dit legitime domæne er og hvad de skal gøre hvis de er i tvivl.
  5. Dokumenter til juridiske formål. Gem beviser for domæneregistrering, certifikat-oplysninger og site-indhold. Denne dokumentation er nødvendig for takedown-anmodninger og eventuel juridisk handling.

Sådan håndterer CertControl brand-overvågning

CertControls CT-overvågning lader dig specificere brand-termer og domænevarianter at overvåge. Platformen forespørger CT-log-aggregering løbende og viser nye certifikat-udstedelser der matcher dine overvågede mønstre som findings — inklusiv det fulde certifikat-emne, udstedende CA, udstedelsestidspunkt og live DNS-opløsning for domænet.

Findings kategoriseres efter sandsynlighed for ondsindet hensigt baseret på signaler som domæne-alder, lighed med dine registrerede domæner og kendte phishing-kit mønstre — så dit team kan prioritere triage frem for at gennemgå hver enkelt CT-post manuelt.

Ofte stillede spørgsmål

Hvor hurtigt kan et phishing-certifikat opdages?

Et nyt certifikat optræder typisk i CT-log-aggregatorer som crt.sh inden for få minutter efter udstedelse, så automatisk overvågning kan advare om lookalike-domæner næsten lige så snart angriberen skaffer et certifikat.

Hvorfor skal angribere bruge et TLS-certifikat til phishing?

Et gyldigt certifikat giver phishing-sitet en hængelås og fjerner browser-advarsler, så det fremstår legitimt for ofre. Anskaffelsen af certifikatet er også det, der skaber en offentlig post i Certificate Transparency-logs, som I kan overvåge.

Hvilke mønstre bør jeg overvåge i CT-logs?

Hold øje med jeres brandnavn i ukendte domæner, typosquatting- og homoglyph-varianter, uventede underdomæner under jeres egne domæner udstedt af CA'er I ikke bruger, samt wildcard-certifikater på lookalike-domæner.

Stopper en rapport til CA'en angrebet?

Tilbagekaldelse fjerner tillids-signalet og kan forstyrre kampagne-værktøjer, men det stopper ikke angrebet øjeblikkeligt, fordi browsere tjekker OCSP/CRL forskelligt. Rapport til hosting-udbyder og registrar tager ofte sitet hurtigere offline.

Kan manuel CT-log overvågning følge med?

Nej. Tusindvis af certifikater udstedes hvert minut, så manuelle søgninger finder typisk phishing-infrastruktur efter kampagnen er kørt. Løbende automatisk overvågning med alarmer er det, der gør tidlig detektion praktisk.

Se platformen Book demo