Sådan opdager du phishing-sites før dine brugere gør det

En angriber registrerer et domæne der ligner dit brand, kloner din loginside, skaffer et gratis TLS-certifikat og sender phishing-mails. Det tager under en time. Certifikatet logges i Certificate Transparency inden for minutter efter udstedelse — og det er dit tidligste advarselssignal, hvis du ved hvor du skal kigge.

TLS-certifikater er blevet obligatoriske for phishing-sites, ikke valgfrie. Brugere er blevet betinget af at kigge efter hængelåsikonet som et tillids-signal — og moderne browsere viser aktive advarsler for ukrypterede sider. Resultatet er at angribere nu rutinemæssigt skaffer certifikater til phishing-infrastruktur, hvilket efterlader et spor i CT-logs som dit sikkerhedsteam kan overvåge.

Sådan sætter angribere phishing-infrastruktur op

Opbygning af troværdig phishing-infrastruktur er blevet commoditiseret. En typisk kampagne følger dette mønster:

Domæneregistrering. Angriberen registrerer et domæne designet til at forveksles med dit — typosquatting (certconrtol.pro), homoglyph-angreb (certcоntrol.pro med kyrillisk 'о'), brand+søgeord (certcontrol-login.com), eller en kombination af dit brand med et nyt TLD (certcontrol.io, certcontrol.net).
Sideopsætning. Angriberen kloner dit sites loginside og hoster den på det lookalike-domæne. Phishing-kits til populære brands er frit tilgængelige.
TLS-certifikat-anskaffelse. Et gratis Let's Encrypt-certifikat skaffe via ACME. Dette tager minutter og kræver ingen menneskelig interaktion. Certifikatet logges i CT-logs umiddelbart efter udstedelse.
Kampagnestart. Phishing-mails, SMS-beskeder eller sociale medie-indlæg sender mål til det lookalike-domæne.

Nøgleobservationen: certifikatet logges i CT-logs typisk timer eller dage før kampagnen begynder. CT-overvågning af dit brand giver dig mulighed for at opdage og reagere på infrastrukturen i det tidlige vindue.

Hvad du skal overvåge i CT-logs

Effektiv CT-baseret phishing-detektion kræver overvågning af specifikke mønstre:

Dit brandnavn i ukendte domæner. Certifikater udstedt til domæner der indeholder dit firmanavn, produktnavn eller primære domæne men ikke er under din kontrol. certcontrol-secure.com bør udløse en undersøgelse; certcontrol.pro (dit faktiske domæne) bør det ikke.
Typosquatting-varianter. Enkelt bogstav-transpositioner, dobbelt bogstaver, manglende bogstaver, almindelige tastatur-nærhedsfejl. Disse er kendetegnet for opportunistiske phishing-kampagner.
Uventede underdomæner under dine domæner. Hvis nogen opretter secure-login.ditdomæne.dk uden din vidende, bør det udløse et øjeblikkelig alarm — det er enten skygge-IT eller domæne-kompromittering.
Wildcard-certifikater på lookalike-domæner. Et *.certcontrol-login.com wildcard-certifikat tyder på at angriberen planlægger at bruge flere underdomæner — typisk et tegn på en mere sofistikeret kampagne.

Begrænsninger ved CT-baseret detektion

CT-overvågning er et effektivt tidligt advarselssystem, men har begrænsninger du bør forstå:

Det opdager ikke certifikatløse phishing-sites. Angribere kan skifte til privat PKI eller selvsignerede certifikater, selvom dette reducerer kampagnens effektivitet markant.
Falske positiver kræver triage. Legitime tjenester bruger undertiden domæner der ligner dit brand — konkurrenter, partnere, journalister der dækker din branche. Ikke hvert fund er ondsindet.
CT-logs opdager ikke DNS-kapring af dine egne domæner. Hvis en angriber kompromitterer din DNS, kan de rute trafik fra dit legitime domæne til en server de kontrollerer — intet nyt certifikat kræves.

Sådan reagerer du på et phishing-fund

Når CT-overvågning identificerer et sandsynligt phishing-domæne:

Verificer at det er ondsindet. Tjek om domænet aktuelt hoster en phishing-side. Brug et sandkassemiljø eller en URL-analysetjeneste — besøg det ikke direkte fra et netværk der kan forbinde dig med din organisation.
Rapporter til den udstedende CA. Alle offentlige CA'er har mekanismer til at rapportere svigagtigt eller upassende anvendelse af deres certifikater. Rapportering kan resultere i tilbagekaldelse af certifikatet.
Rapporter til hosting-udbyderen og registraren. De fleste domæneregistratorer og hosting-udbydere har politikker mod phishing og vil handle på verificerede rapporter. ICANN har procedurer for domæner brugt i misbrug.
Advar dine brugere hvis kampagnen er aktiv. Hvis du har beviser for at phishing-kampagnen er i gang, overvej proaktiv kommunikation til brugere om hvad dit legitime domæne er og hvad de skal gøre hvis de er tvivl.
Dokumenter til juridiske formål. Gem beviser for domæneregistrering, certifikat-oplysninger og site-indhold. Denne dokumentation er nødvendig for takedown-anmodninger og eventuel juridisk handling.

Sådan håndterer CertControl brand-overvågning

CertControls CT-overvågning lader dig specificere brand-termer og domænevarianter at overvåge. Platformen forespørger CT-log-aggregering løbende og viser nye certifikat-udstedelser der matcher dine overvågede mønstre som findings — inklusiv det fulde certifikat-emne, udstedende CA, udstedelsestidspunkt og live DNS-opløsning for domænet.

Findings kategoriseres efter sandsynlighed for ondsindet hensigt baseret på signaler som domæne-alder, lighed med dine registrerede domæner og kendte phishing-kit mønstre — så dine team kan prioritere triage frem for at gennemgå hver enkelt CT-post manuelt.

Se platformen Book demo