Một công cụ tình báo mối đe dọa mới có tên PhishCan đã xuất hiện, cung cấp quyền truy cập miễn phí vào dữ liệu lừa đảo nhắm mục tiêu cụ thể các tổ chức Canada. Nền tảng này theo dõi các tên miền độc hại mạo danh các ngân hàng lớn, công ty tiện ích và các cơ quan chính phủ Canada, cập nhật cơ sở dữ liệu của mình mỗi 12 giờ với các nguồn cấp dữ liệu mối đe dọa trực tiếp.
Các tính năng chính của PhishCan :
- Cập nhật mỗi 12 giờ với nguồn cấp dữ liệu mối đe dọa trực tiếp
- Theo dõi 592 mối đe dọa lừa đảo liên quan đến ngân hàng
- Bao phủ ba lĩnh vực chính: Ngân hàng, Tiện ích công cộng, Chính phủ
- Cung cấp tích hợp URLScan.io và VirusTotal
- Nền tảng miễn phí và có thể truy cập công khai
Câu hỏi của cộng đồng về sự tin cậy và minh bạch
Cộng đồng an ninh mạng đã đặt ra những câu hỏi quan trọng về độ tin cậy và nguồn gốc của công cụ này. Các chuyên gia bảo mật đang hỏi ai là người vận hành dịch vụ này và tại sao họ nên tin tưởng dữ liệu này hơn các nguồn tình báo mối đe dọa đã được thiết lập. Người tạo ra đã thừa nhận những lo ngại này, giải thích rằng dự án hiện tại hoạt động như một sáng kiến cá nhân mà không có đăng ký công ty chính thức.
Nhà phát triển đứng sau PhishCan đã phản hồi về những lo ngại về tính minh bạch bằng cách lưu ý rằng trong khi các nhà cung cấp lớn như Microsoft cung cấp tình báo mối đe dọa vượt trội, các dịch vụ của họ đi kèm với chi phí cao và tính linh hoạt hạn chế. Mục tiêu là tạo ra một nguồn tài nguyên có thể truy cập công khai để lấp đầy khoảng trống trong tình báo mối đe dọa cụ thể của Canada.
Triển khai kỹ thuật và nguồn dữ liệu
Thay vì dựa vào các tác nhân AI hoặc nền tảng tự động, PhishCan sử dụng các phương pháp phát hiện dựa trên heuristic kết hợp với kỹ thuật fuzzing trên các nguồn dữ liệu mở khác nhau. Hệ thống tích hợp với các dịch vụ bên thứ ba như Whoxy để phân tích bản ghi WHOIS, cung cấp quyền truy cập miễn phí cho các dự án phi thương mại.
Nền tảng hiện đang theo dõi 592 mối đe dọa nhắm mục tiêu riêng các tổ chức ngân hàng, với các tên miền được thiết kế để bắt chước các dịch vụ tài chính Canada hợp pháp. Những trang web độc hại này thường sử dụng các biến thể của tên thương hiệu đáng tin cậy, cố gắng lừa người dùng chia sẻ thông tin nhạy cảm.
Các tên miền độc hại mẫu đã được phát hiện:
- 999verf-desj.com (mạo danh Desjardins)
- 1.bmo.best (mạo danh ngân hàng BMO)
- auth-easyweb.com (mạo danh TD EasyWeb)
- auth-royalbank.com (mạo danh RBC)
- alberta-account.ca (mạo danh dịch vụ chính phủ)
Tiềm năng mở rộng và tích hợp
Các thành viên cộng đồng đã bày tỏ sự quan tâm đến việc mở rộng khái niệm này ra ngoài phát hiện lừa đảo. Một số nhà phát triển đang xem xét các cách tiếp cận tương tự để theo dõi các mối đe dọa liên quan đến AI, thay đổi quy định và vi phạm bảo mật. Những người khác đã yêu cầu các tùy chọn tích hợp thực tế, chẳng hạn như các tệp vùng DNS RPZ mà các quản trị viên mạng có thể sử dụng để tự động chặn các tên miền độc hại ở cấp máy chủ.
Dự án đại diện cho một cách tiếp cận thú vị để dân chủ hóa tình báo mối đe dọa, đặc biệt đối với các tổ chức có thể không có ngân sách cho các dịch vụ bảo mật cấp doanh nghiệp. Tuy nhiên, sự nhấn mạnh của cộng đồng về tính minh bạch và xác minh làm nổi bật thách thức đang diễn ra trong việc thiết lập niềm tin vào các công cụ an ninh mạng, đặc biệt là những công cụ từ các nhà phát triển cá nhân thay vì các công ty đã được thiết lập.
Khi các mối đe dọa mạng tiếp tục phát triển, các sáng kiến do cộng đồng thúc đẩy như PhishCan có thể đóng vai trò ngày càng quan trọng trong việc bảo vệ các tổ chức nhỏ hơn và người dùng cá nhân thiếu quyền truy cập vào các nền tảng tình báo mối đe dọa thương mại đắt tiền.
Tham khảo: PhishCan